Phishing na kody QR to wyjątkowo sprytna metoda ataku. Co prawda technika jest już stosowana od dłuższego czasu, ale ostatnio staje się coraz powszechniejsza wśród cyberprzestępców.
Kody QR mogą być bardzo przydatną funkcją, która ułatwia nasze codzienne funkcjonowanie. Niestety, nadal mało kto zwraca uwagę na możliwość jej szkodliwego wykorzystania. Doskonale o tym wiedzą cyberprzestępcy - firma Cofense informuje o dużej kampanii phishingowej, której celem były amerykańskie przedsiębiorstwa.
Oszustwo na kody QR
Oszustwo na kody QR (tzw. QRishing) można porównać do phishingu. Zasada jest podobna, ale przestępcy próbują zachęcić swoje ofiary do zeskanowania kodu QR i przejścia w podstawiony link.
Firma Cofense opisuje przykład ogromnej kampanii phishingowej, gdzie pracownicy amerykańskich przedsiębiorstw otrzymali wiadomość e-mail z kodem QR – komunikat miał zachęcić do włączenia weryfikacji 2FA przez zeskanowanie kodu QR. Rzekomo chodziło o względy bezpieczeństwa.
W praktyce kod QR zawierał zakamuflowany link, który prowadził do fałszywej strony, służącej wyłudzeniu danych uwierzytelniających. Hiperłącze zostało tak przygotowane, aby na pierwszy rzut oka wyglądało na adres przenoszący do wyszukiwarki Bing (dopiero na końcu umieszczono adres e-mail ofiary oraz link do strony docelowej zakodowany w Base64).
Ogromna fala oszustw na kody QR
Co prawda QRishing nie jest nową metodą ataku, ale w ostatnim czasie jest coraz popularniejsza wśród cyberprzestępców. Według Cofense, w ostatnim czasie zaobserwowano ogromne kampanie wymierzone w amerykańskie przedsiębiorstwa. W maju odnotowano wzrost przypadków o 270% w ujęciu miesiąc do miesiąca, w czerwcu aż o 500%, a w lipcu był to kolejny wzrost - już “tylko” o 155%.
Dokładne mierzenie skuteczności kampanii właściwie nie jest możliwe. Eksperci wskazują, że wzrost zainteresowania sugeruje, że przestępcy wiążą z nią duże nadzieje i przynosi wymierne zyski.
Jak chronić się przed oszustwami na kody QR? Przede wszystkim należy je traktować z ograniczonym zaufaniem i nie skanować wszystkich “znaczków”. Szkolenia z bezpieczeństwa bardzo często przestrzegają przed klikaniem w dziwne linki, ale niekoniecznie zwracają uwagę na kody QR.
Źródło: Niebezpiecznik
![Amerykańskie wojsko i sztuczna inteligencja. Dzień Sądu jest bliski? [OPINIA]](http://cdn.benchmark.pl/thumbs/uploads/article/93801/MODERNICON/dfef86e432c60118ce8ad99b59ec2355fab92f34.jpg/470x0x1.jpg)
![AI nie będzie nam wybierało rządu! A może będzie? [OPINIA]](http://cdn.benchmark.pl/thumbs/uploads/article/93577/MODERNICON/2b77f552fbfa26c7e99620bb643f2dea6b143fd0.jpg/470x0x1.jpg)
Komentarze
1