Co to jest atak wyciszający? Jak działa ten exploit i co możesz zrobić, aby uchronić się przed celem? Dowiedzmy się, jak zgniatanie naraża Twoje urządzenia i dane na ryzyko.
Spis treści:
Co to jest quishing?
Quishing, znany również jako phishing za pomocą kodów QR, to technika phishingu wykorzystująca kody QR w celu oszukania potencjalnych ofiar. Podobnie jak inne rodzaje ataków phishingowych, ich celem jest kradzież poufnych informacji, zainstalowanie złośliwego oprogramowania na Twoim urządzeniu lub nakłonienie Cię do odwiedzenia strony internetowej.
Złośliwe osoby polegają na coraz większej popularności kodów QR, szczególnie podczas pandemii, kiedy ludzie przyzwyczaili się do ich używania.
Jak działa quishing?
Po pierwsze, hakerzy planują atak eliminujący, tworząc niewinnie wyglądający kod QR. Istnieje wiele narzędzi online do tworzenia kodu QR. Możesz nawet utworzyć kod QR na swoim telefonie z Androidem.
Kody QR mogą przekierowywać Cię do fałszywych portali płatniczych, złośliwych linków lub hostować dokumenty zainfekowane wirusami. Hakerzy umieszczają złośliwe kody QR w miejscach, w których ofiary mogą je skanować, aby osiągnąć swoje cele. Zatem kody QR umieszczone na plakatach, ulotkach i fałszywych reklamach w miejscach publicznych mogą ukryć atak phishingowy. Dotyczy to restauracji, centrów handlowych, parków i lotnisk.
Jak quishing może na ciebie wpłynąć?
Ponieważ hakerzy używają kodów QR, możesz nie zdawać sobie sprawy, że padłeś ofiarą ataku typu quishing, dopóki nie będzie za późno. Powinieneś więc wiedzieć, jak quishing może na ciebie wpłynąć.
1. Możesz zostać przekierowany na stronę phishingową
Zeskanowany kod QR może przekierować Cię na stronę internetową zaprojektowaną tak, aby wiernie naśladowała treść, której możesz się spodziewać. W ten sposób hakerzy przekonują Cię do podania prywatnych informacji, takich jak numer telefonu, adres e-mail czy numer karty kredytowej.
2. Może to być atak złośliwego oprogramowania
Kody QR mogą również zawierać treści, takie jak złośliwe oprogramowanie, oprogramowanie ransomware, a nawet trojany. To oprogramowanie można skonfigurować tak, aby automatycznie pobierało i instalowało się na urządzeniu zaraz po zeskanowaniu kodu QR. Hakerzy mogą instalować nowe oprogramowanie na Twoim urządzeniu, kraść prywatne informacje lub śledzić Twoją aktywność.
3. Może kontrolować Twoje konta w mediach społecznościowych
Oprócz zainstalowania złośliwego oprogramowania na urządzeniu, zeskanowanie kodu QR może spowodować utratę kontroli nad kontami w mediach społecznościowych. Na przykład zeskanowanie kodu QR może spowodować zainstalowanie oprogramowania, które będzie wysyłać e-maile z Twojego konta lub wysyłać wiadomości do osób na platformach mediów społecznościowych, takich jak Instagram, WhatsApp i tak dalej.
Jak zapobiegać atakom typu Quishing
Rezygnacja ze skanowania kodów QR może być trochę za duża. Istnieje jednak kilka sposobów, aby uchronić się przed quishingiem.
1. Podgląd adresu URL
Przed uzyskaniem dostępu do miejsca docelowego kodu QR na urządzeniu wyświetli się podgląd linku. Jeśli adres URL został skrócony i nie ma możliwości określenia miejsca docelowego, lepiej trzymać się od niego z daleka.
Dodatkowo sprawdź protokół bezpieczeństwa, ponieważ większość bezpiecznych stron internetowych korzysta z protokołu HTTPS zamiast HTTP.
2. Sprawdź miejsce docelowe kodu QR
Jeśli już odwiedziłeś tę witrynę, spójrz na jej adres URL. Jeśli zauważysz błędy ortograficzne, niewłaściwe użycie języka lub obrazy o niskiej rozdzielczości, istnieje duże prawdopodobieństwo, że jest to witryna wyłudzająca informacje. Ponadto, jeśli treść witryny stwarza wrażenie pilności lub nawet wymaga natychmiastowego działania, lepiej opuścić witrynę.
3. Użyj wbudowanego skanera QR
Kiedy się spieszysz, możesz pobrać aplikację innej firmy, aby zeskanować kod QR lub poszukać skanera online. Jednakże narzędzia te mogą zostać opracowane i wykorzystane przez hakerów do przeprowadzenia ataku typu quishing. Aby tego uniknąć, zalecamy skorzystanie z wbudowanego w telefon skanera QR w aparacie.
Wyjaśnienie Quishingu
Podobnie jak inne ataki phishingowe, quishing stanowi poważne zagrożenie dla osób fizycznych i firm. Jeśli padłeś ofiarą ataku wyciszającego, może minąć kilka dni, a nawet tygodni, zanim się o tym przekonasz. Dlatego warto pomyśleć dwa razy, zanim zeskanujesz kod QR z niezweryfikowanego źródła.