Quishing
Quishing – metoda oszustwa internetowego (forma phishingu[1]), polegająca na przekazaniu ofierze oszustwa do zeskanowania odpowiednio spreparowanego kodu QR[2].
Przygotowanie ataku
edytujOszuści mogą znaleźć ofiarę korzystając z komunikatorów lub mediów społecznościowych i za ich pośrednictwem wysyłać jej spreparowany kod QR[3], możliwe jest także przekazanie kodu QR w inny sposób – na przykład na ulotce wręczonej na ulicy bądź poprzez umieszczenie kodu w miejscu publicznym[1] (w 2023 roku złapano na przykład oszustów rozklejających fałszywe kody QR na krakowskich parkomatach[4]).
Aby dodatkowo zachęcić ofiarę do zeskanowania kodu, stosuje się różne techniki manipulacyjne – na przykład: opisuje się go jako prowadzący do odbioru nagrody, dokonania płatności mobilnej[2], obiecuje się oszczędność czasu i ułatwienie życie lub straszy promocją ograniczoną czasowo[1].
Metody quishingu
edytujKiedy ofiara zeskanuje przekazany przez hakera kod QR, zostaje przekierowana pod przygotowany przez niego adres – na przykład:
- podobnie jak w przypadku tradycyjnych ataków phishingowych – strony internetowej do złudzenia przypominającej stronę banku lub innej wiarygodnej instytucji, wymagającej zalogowania – po podaniu danych logowania, są one przechwytywane przez atakującego[1][2];
- strony umożliwiające dokonanie płatności – rzekomo pożądanej przez użytkownika (np. opłaty parkingowej),
- strony pobierania złośliwego oprogramowania[2];
- link uwierzytelniający logowanie na urządzeniu oszusta na konto użytkownika w danej aplikacji. Opisano przejmowanie w ten sposób dostępu do aplikacji Wiadomości od Google – działanie to umożliwia oszustowi czytanie wiadomości SMS ofiary, dostęp do listy kontaktów z urządzenia, wysyłkę SMS-ów w imieniu ofiary (także dodatkowo płatnych)[3].
Zapobieganie i obrona przed atakami quishingowymi
edytujJako główne metody ochrony przed atakami quishingowymi wskazuje się:
- weryfikację wiarygodności kodu QR i powiązanego z nim opisu (np. na plakacie czy ulotce),
- weryfikację autentyczności strony, na którą trafiło się po zeskanowaniu kodu[2],
- zachowanie szczególnej ostrożności w przypadku kodów QR z dołączoną wiadomością wzbudzającą szczególne emocje,
- wyłączenie niezaufanym aplikacjom dostępu do kamery w urządzeniu mobilnym (w celu uniknięcia niezamierzonego zeskanowania kodu),
- wykorzystywanie wyłącznie oficjalnych aplikacji do płatności w miejscach publicznych[1].
Każdy fakt padnięcia ofiarą podobnego oszustwa należy zgłosić policji[3].
Przypisy
edytuj- ↑ a b c d e Otwierasz kody QR z nieznanego źródła? Takie zachowanie może Cię drogo kosztować! [online] [dostęp 2024-03-26] [zarchiwizowane z adresu 2024-03-19] .
- ↑ a b c d e Quishing – oszustwo z wykorzystaniem kodów QR [online] [dostęp 2024-03-26] [zarchiwizowane z adresu 2024-03-19] .
- ↑ a b c Oszustwa z wykorzystaniem kodów QR [online], CERT Polska [dostęp 2024-03-26] [zarchiwizowane z adresu 2024-03-26] .
- ↑ Fałszywe kody QR na krakowskich parkomatach. Oszuści w rękach policji [online], Wyborcza.pl, 18 lipca 2023 [dostęp 2024-03-26] [zarchiwizowane z adresu 2024-03-26] .