Οι κωδικοί QR είναι ένας τύπος γραμμικού κώδικα που εμφανίζεται σε ένα πλέγμα τετράγωνου σχήματος και μπορεί να διαβαστεί από μια κάμερα, συνήθως σε ένα smartphone. Οι κωδικοί QR μπορούν να αποθηκεύουν απλό κείμενο ή συνδέσμους για λήψη μιας εφαρμογής, πρόσβαση σε πληροφορίες προϊόντος ή μενού, αποστολή ή λήψη πληρωμής, σύνδεση σε δίκτυο Wi-Fi, σύνδεση σε λογαριασμό (π.χ. πρόγραμμα αφοσίωσης) ή υποστήριξη έκδοσης εισιτηρίων για κινητά είναι μερικές από τις αμέτρητες χρήσεις του κώδικά QR.

Το 2022, 83,4 εκατομμύρια χρήστες smartphone στις ΗΠΑ σάρωσαν έναν κωδικό QR, αριθμός που αναμένεται να φτάσει τα 99,5 εκατομμύρια το 2025. Δεν αποτελεί έκπληξη, καθώς οι κωδικοί QR αυξάνονται σε δημοτικότητα, έχουν γίνει το πιο πρόσφατο «δέλεαρ» για επιθέσεις ηλεκτρονικού ψαρέματος quishing ως ένας τρόπος να επωφεληθούν αφού οι χρήστες τους χρησιμοποιούν όλο και περισσότερο.

Οι επιθέσεις phishing με κώδικα QR, γνωστές και ως «quishing», αξιοποιούν φυσικούς ή ψηφιακούς κωδικούς QR για να παρασύρουν τους χρήστες σε ψεύτικους ιστότοπους που έχουν σχεδιαστεί για να κλέψουν ευαίσθητες πληροφορίες ή να διεισδύσουν σε μια συσκευή και να τη μολύνουν με κακόβουλο λογισμικό.

Όπως και με άλλα είδη phishing, αυτό το είδος επίθεσης αξιοποιεί την εμπιστοσύνη—την εμπιστοσύνη στον ίδιο τον κώδικα QR καθώς και στην επωνυμία που συνδέεται με αυτόν. Επιπλέον, πολλές επιθέσεις βασίζονται στη δημιουργία μιας αίσθησης επείγοντος γύρω από ένα υποτιθέμενο όφελος (π.χ. διαγωνισμός) ή συνέπεια της μη ανάληψης δράσης (π.χ. κλειδωμένος λογαριασμός). Τον Σεπτέμβριο του 2023 σημειώθηκε αύξηση 51% στις επιθέσεις quishing, σε σύγκριση με το σωρευτικό ποσοστό για τον Ιανουάριο έως τον Αύγουστο του 2023. Επιπλέον, οι κακόβουλοι κωδικοί QR αντιπροσώπευαν το 9,5% όλων των κωδικών QR που σαρώθηκαν τον Σεπτέμβριο του 2023.

Το ηλεκτρονικό ψάρεμα κωδικών QR – Quishing – αξιοποιεί μια ευρέως χρησιμοποιούμενη μορφή τεχνολογίας που προκαλεί μια μορφή «εμπιστοσύνης», όπου οι εισβολείς είτε τοποθετούν νέους, κακόβουλους κωδικούς QR σε φυσικές τοποθεσίες που τους κάνουν να φαίνονται αξιόπιστοι, είτε στέλνουν κακόβουλους κωδικούς QR ως μέρος ηλεκτρονικού ψαρέματος ηλεκτρονικού ταχυδρομείου ή κειμένου. επίθεση. Ας δούμε μερικά παραδείγματα:

1. Φυσικός κωδικός QR
Ένας κωδικός QR είναι προσαρτημένος στην πόρτα μιας τράπεζας. Όταν σαρωθεί, ο κωδικός QR ζητά από τον χρήστη να συνδεθεί στον τραπεζικό του λογαριασμό για να συμμετάσχει σε διαγωνισμό για να κερδίσει 100 € που θα κατατεθούν αυτόματα στον τραπεζικό του λογαριασμό. Ο ιστότοπος φαίνεται επώνυμος με τα τραπεζικά στοιχεία.

Ωστόσο, αυτός ο κωδικός QR είναι στην πραγματικότητα δόλιος και όλα τα τραπεζικά στοιχεία που έχουν εισαχθεί μπορούν πλέον να χρησιμοποιηθούν για απάτη.

2. Ψηφιακός κωδικός QR
Ο χρήστης λαμβάνει ένα email από το αγαπημένο του κατάστημα λιανικής που περιέχει έναν κωδικό QR για να εγγραφεί σε ένα νέο πρόγραμμα επιβράβευσης. Όταν ο χρήστης σαρώνει τον κωδικό στην οθόνη του υπολογιστή του, του ζητείται να εισαγάγει τα προσωπικά του στοιχεία, όπως όνομα, διεύθυνση, όνομα χρήστη και κωδικό πρόσβασης.

Ομοίως, αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου περιέχει έναν δόλιο κωδικό QR και αποτελεί επίθεση phishing. παρόμοια με όλες τις άλλες μορφές επιθέσεων phishing, αξιοποιώντας απλώς τη νέα τεχνολογία. Αυτά τα στοιχεία μπορούν πλέον να χρησιμοποιηθούν για πρόσβαση στον ιστότοπο του λιανοπωλητή και σε οποιεσδήποτε πληροφορίες είναι αποθηκευμένες εκεί, συμπεριλαμβανομένων των στοιχείων της πιστωτικής κάρτας. Εάν αυτός ο κωδικός πρόσβασης επαναχρησιμοποιηθεί σε άλλους ιστότοπους, κάτι που το 39% των ατόμων παραδέχεται ότι έκανε , θα μπορούσε να χρησιμοποιηθεί σε άλλες περιπτώσεις απάτης. Επιπλέον, οι προσωπικές πληροφορίες ενδέχεται να πωληθούν στη μαύρη αγορά για να αξιοποιηθούν από άλλους σε μελλοντικές επιθέσεις phishing.

1. Σκεφτείτε και επαληθεύστε ότι η πηγή είναι νόμιμη

Ενώ οι ίδιοι οι κωδικοί QR δεν μπορούν να παραβιαστούν, είναι πολύ εύκολο να τοποθετήσετε ένα νέο και δόλιο αυτοκόλλητο κώδικα QR πάνω από μια νόμιμη πηγή. Οι κωδικοί QR που βασίζονται σε αυτοκόλλητα, χωρίς επωνυμία ή τοποθετούνται σε ασυνήθιστες τοποθεσίες θα πρέπει να αντιμετωπίζονται με προσοχή. Οι κωδικοί QR από μια άγνωστη πηγή δεν πρέπει να είναι αξιόπιστοι. Οι κωδικοί QR που παραδίδονται μέσω email θα πρέπει πάντα να αντιμετωπίζονται με εξαιρετική προσοχή, με εξαίρεση τα εισιτήρια για κινητά που διαβάζονται από τρίτους (π.χ. εισιτήρια συναυλιών).

Κάθε φορά που έχετε αμφιβολίες, αγνοήστε τον «εύκολο» τρόπο απάντησης στο μήνυμα προτροπής για τον κωδικό QR και αντ’ αυτού επαληθεύστε ότι ο κωδικός QR είναι νόμιμος επικοινωνώντας με την επωνυμία απευθείας από τον τυπικό ιστότοπο της, καλώντας την εξυπηρέτηση πελατών ή ρωτώντας έναν υπάλληλο αυτοπροσώπως.

2. Προσέξτε να μοιράζεστε προσωπικές πληροφορίες
Η αποτελεσματική προστασία προσωπικών και οικονομικών πληροφοριών και η εμπιστοσύνη σε έναν ιστότοπο μπορεί να είναι πρόκληση για πολλούς ανθρώπους. Στην πραγματικότητα, περίπου το 32% των ανθρώπων δεν είναι σίγουροι ότι θα μπορούσαν να εντοπίσουν έναν δόλιο ή ψεύτικο ιστότοπο λιανοπωλητή.

Καθώς οι επιθέσεις phishing γίνονται πιο δύσκολο να εντοπιστούν και να χρησιμοποιηθούν νέες τακτικές δελεασμού, όπως κωδικοί QR, να είστε προσεκτικοί με ιστότοπους που ζητούν προσωπικά στοιχεία, στοιχεία σύνδεσης ή οικονομικά στοιχεία.

3. Προσοχή στους τρόπους πληρωμής
Αν και είναι βολικό, δεν προστατεύονται εξίσου όλοι οι τρόποι πληρωμής. Αποφύγετε ύποπτες μεθόδους πληρωμής και πληρωμές με κάρτες οι οποίες δεν υποστηρίζουν 3D secure. Επιλέξτε μια πιστωτική κάρτα με προστασία καταναλωτή για τυχόν αγορές. Μην αποκαλύπτετε ποτέ τραπεζικές πληροφορίες ή χρηματικά εμβάσματα ως αποτέλεσμα αλληλεπίδρασης με κωδικό QR.

4. Ενεργοποιήστε ισχυρό, ανθεκτικό στο phishing MFA σε όλους τους διαδικτυακούς λογαριασμούς σας
Όπου είναι δυνατόν, ενεργοποιήστε τους λογαριασμούς να χρησιμοποιούν έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) για να είναι πιο δύσκολη η επιτυχία των επιθέσεων ηλεκτρονικού ψαρέματος. Αν και οποιαδήποτε μορφή MFA είναι καλύτερη από τη χρήση απλώς ονόματος χρήστη και κωδικού πρόσβασης, δεν είναι όλα τα MFA ίσα. Αναζητήστε μια επιλογή MFA ανθεκτική στο ηλεκτρονικό ψάρεμα, όπως κλειδί πρόσβασης που συνδέονται με συσκευές – συμπεριλαμβανομένων των κλειδιών ασφαλείας υλικού όπως το YubiKey – για να προσφέρετε προηγμένη προστασία σε διαδικτυακούς λογαριασμούς. Τα κλειδιά ασφαλείας σταματούν τις επιθέσεις phishing απαιτώντας κάτι που γνωρίζετε (έναν κωδικό πρόσβασης) και κάτι που έχετε (κλειδί ασφαλείας) για να εισαγάγετε στη συσκευή και να την αγγίξετε φυσικά για να αποκτήσετε πρόσβαση σε λογαριασμούς.

Για τους ιστότοπους που δεν υποστηρίζουν ακόμη μεθόδους ισχυρής επαλήθευσης ταυτποτητας χρήστη, χρησιμοποιήστε έναν αξιόπιστο διαχειριστή κωδικών πρόσβασης, όπως το 1Password, για να δημιουργήσετε ισχυρά, μοναδικά διαπιστευτήρια ανά ιστότοπο.

Πηγή: Josh Cigna / Yubico