Το QRishing είναι μια μορφή επίθεσης phishing όπου οι χάκερ εκμεταλλεύονται κωδικούς QR για να κλέψουν προσωπικές πληροφορίες, να εγκαταστήσουν κακόβουλο λογισμικό σε μια συσκευή ή να κατευθύνουν ένα άτομο σε έναν μη ασφαλή ιστότοπο.
Πώς λειτουργούν λοιπόν αυτές οι επιθέσεις; Πώς μπορείτε να αποφύγετε να πέσετε θύμα μιας επίθεσης QRishing;
Τι είναι το QRishing;
Το QRishing εκμεταλλεύεται τις τάσεις των χρηστών τηλεφώνων να σαρώνουν κωδικούς QR από περιέργεια, πλήξη ή ανάγκη.
Για παράδειγμα, ο εισβολέας μπορεί να αφήσει φυλλάδια σε μια στάση λεωφορείου ή σε τραπέζια σε εστιατόρια ή καφετέριες. Όταν ένα άτομο σαρώνει τον κωδικό QR με το τηλέφωνό του, νομίζοντας ότι πρόκειται για διαφήμιση ή μενού, εμφανίζει μια διεύθυνση URL, μια εικόνα ή έναν χάρτη με οδηγίες προς μια τοποθεσία, μεταξύ άλλων.
Από εδώ και πέρα, οι απατεώνες βασίζονται κοινωνική μηχανική να εξαπατήσουν τα θύματα να μοιράζονται ευαίσθητες πληροφορίες. Οι χάκερ μπορούν επίσης να εκμεταλλευτούν τρωτά σημεία όπως σφάλματα WebKit σε ένα πρόγραμμα περιήγησης για να καταλάβουν τη συσκευή του θύματος.
Πώς λειτουργεί το QRishing;
Φυσικά, δεν θα σάρωναν όλοι έναν τυχαίο κωδικό QR χωρίς κίνητρο ή λεζάντα που να εξηγεί τι μπορούν να περιμένουν να δουν. Έτσι, οι εγκληματίες του κυβερνοχώρου βρίσκουν συχνά έναν άλλο τρόπο να κάνουν τους ανθρώπους να ενδιαφέρονται.
Αλλαγή δημοφιλών ή αξιόπιστων κωδικών QR
Ένας κυβερνοεγκληματίας μπορεί να πάρει ένα φυλλάδιο από, ας πούμε, ένα δημοφιλές χρηματοπιστωτικό ίδρυμα ή κρατική υπηρεσία. Στη συνέχεια, αλλάζουν τον κωδικό QR, αλλά διατηρούν άλλες λεπτομέρειες ή σχέδια και μοιράζονται το φυλλάδιο στο διαδίκτυο. Μπορούν επίσης να τις δημοσιεύσουν σε δημόσιους χώρους όπου οι άνθρωποι μπορούν να δουν και να σαρώσουν τον κωδικό QR. Το συγκεκριμένο κόλπο αναφέρθηκε καλά μετά το Διαφήμιση κωδικού QR Coinbase στο Super Bowl του 2022 έγινε viral.
Επικολλήστε ψεύτικα φυλλάδια με τον κωδικό QR
Εδώ, ένας εγκληματίας του κυβερνοχώρου μπορεί να δημιουργήσει ψεύτικα φυλλάδια με έναν κωδικό QR που δημιουργήθηκε για να κατευθύνει τα άτομα που τα σαρώνουν σε έναν ιστότοπο όπου ο εισβολέας μπορεί να κλέψει τα δεδομένα τους. Ακόμα κι αν αυτή η προσπάθεια αποτύχει, ο εισβολέας μπορεί να συλλέξει δεδομένα συσκευής και τοποθεσίας από το πρόγραμμα περιήγησης του θύματος. Ακόμη χειρότερα, ένας αποφασισμένος εισβολέας θα μπορούσε να χρησιμοποιήσει τα δακτυλικά αποτυπώματα του προγράμματος περιήγησης για να παρακολουθήσει ένα θύμα στο διαδίκτυο.
Ενσωματώστε τον κωδικό QR σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου απάτης
Αυτή η μορφή QRishing αποτελεί τυπικά μέρος των συμβατικών μεθόδων ηλεκτρονικού ψαρέματος. Σε αντίθεση με τους συντομευμένους υπερσυνδέσμους, η τοποθέτηση του δείκτη του ποντικιού πάνω από έναν κωδικό QR δεν εμφανίζει τη διεύθυνση URL προορισμού, επομένως, για Για παράδειγμα, είναι εύκολο για έναν απατεώνα να πει σε ένα πιθανό θύμα να σαρώσει έναν κωδικό QR για να έχει την ευκαιρία να κερδίσει δωροκάρτα.
Πώς να αποφύγετε το QRishing
Η σάρωση και η ανάγνωση ενός κωδικού QR απαιτεί ως επί το πλείστον δύο πράγματα: μια κάμερα και ένα πρόγραμμα περιήγησης για την παρακολούθηση των πληροφοριών στον κώδικα QR. Καθώς είναι τόσο απλό, αυτό σημαίνει ότι είναι απλό να αποφύγετε να πέσετε θύματα. Να πώς.
Αποκλείστε την πρόσβαση στην κάμερα στο τηλέφωνό σας
Οι περισσότεροι άνθρωποι έχουν έτοιμες τις κάμερες του τηλεφώνου τους για να απαθανατίσουν σημαντικές στιγμές ή να κάνουν βιντεοκλήσεις. Αυτό είναι κατανοητό. Αλλά η ύπαρξη μιας πάντα ενεργοποιημένης κάμερας μπορεί επίσης να σας διευκολύνει να σαρώσετε έναν κωδικό QR χωρίς να τον σκεφτείτε.
Σκεφτείτε απενεργοποίηση της κάμερας του iPhone σας όταν δεν χρησιμοποιείται. Ένας γρήγορος τρόπος για να το κάνετε αυτό είναι να σύρετε προς τα κάτω από την περιοχή ειδοποιήσεων και να αποκλείσετε την πρόσβαση στην κάμερα. Ο άλλος τρόπος είναι να πλοηγηθείτε σε Ρυθμίσεις > Εφαρμογές > Άδειες. Στη συνέχεια, μπορείτε να απενεργοποιήσετε την κάμερα ή να τη ρυθμίσετε να ζητά δικαιώματα πρόσβασης κάθε φορά που θέλετε να χρησιμοποιήσετε την εφαρμογή. Η διαδικασία είναι παρόμοια για χρήστες Android.
Χωρίς αμφιβολία, θα νιώσετε αυτή την αλλαγή στον τρόπο ζωής, ειδικά αν χρησιμοποιείτε πολύ την κάμερά σας. Ωστόσο, η περιστασιακή ταλαιπωρία της απενεργοποίησης και ενεργοποίησης της κάμεράς σας αξίζει την επιπλέον ασφάλεια έναντι του QRishing και των εφαρμογών τρίτων που έχουν πρόσβαση στην κάμερά σας.
Διατηρήστε το λογισμικό σας ενημερωμένο
Οι χάκερ μπορούν να εκμεταλλευτούν ευπάθειες λογισμικού στις εφαρμογές σας ή στο λειτουργικό σύστημα του τηλεφώνου σας χωρίς να το γνωρίζετε. Για παράδειγμα, οι χάκερ μπορούν να εκμεταλλευτούν τις ευπάθειες ασφαλείας του WebKit στο πρόγραμμα περιήγησής σας για να χακάρουν το τηλέφωνο, το tablet ή ακόμα και το έξυπνο ρολόι σας. Εξετάστε το ενδεχόμενο να ρυθμίσετε τις συσκευές σας για αυτόματη ενημέρωση εφαρμογών και εγκατάσταση ενημερώσεων ασφαλείας μόλις γίνουν διαθέσιμα.
Αποφύγετε την κοινή χρήση ευαίσθητων πληροφοριών στο Διαδίκτυο
Η σάρωση ενός κωδικού QR μπορεί να σας οδηγήσει σε μια ιστοσελίδα ή μια ηλεκτρονική φόρμα όπου θα σας ζητηθεί να παράσχετε πληροφορίες όπως τα βιογραφικά, τη διεύθυνση email, τους κωδικούς πρόσβασης του λογαριασμού ή τα στοιχεία της κάρτας σας για να έχετε την ευκαιρία να κερδίσετε ένα πλασματικό βραβείο.
Κατά κανόνα, αποφύγετε την κοινή χρήση προσωπικών δεδομένων στο διαδίκτυο. Εκτός από τον κίνδυνο χακαρίσματος του λογαριασμού σας ή κλοπής χρημάτων, οι εγκληματίες του κυβερνοχώρου μπορούν επίσης να χρησιμοποιήσουν τα στοιχεία που μοιραστήκατε κλέψουν την ταυτότητά σου.
Σκεφτείτε πριν σαρώσετε
Δεν χρειάζεται να σαρώνετε κάθε κωδικό QR που σας παρουσιάζεται. Μείνετε δύσπιστοι και αποφύγετε να σαρώσετε οτιδήποτε άσκοπα. Στις περισσότερες περιπτώσεις, μπορείτε να ελέγξετε τον ιστότοπο ή το μενού μιας εταιρείας αναζητώντας πρώτα διαδικτυακά.
QRishing: Λιγότερο κοινό, αλλά μείνετε μπροστά
Το QRishing είναι λιγότερο συνηθισμένο από άλλους τύπους phishing, επειδή ένας εισβολέας θα πρέπει να καταβάλει κάποια προσπάθεια για τη διανομή του κακόβουλου κώδικα QR. Ωστόσο, αυτή η μορφή ηλεκτρονικού ψαρέματος είναι σχετικά νέα και δεν γνωρίζουν πολλοί άνθρωποι γι 'αυτό, πράγμα που σημαίνει ότι οι άνθρωποι μπορούν εύκολα να το ερωτευτούν. Οι κυβερνοεγκληματίες που πραγματοποιούν αυτές τις επιθέσεις έχουν τα πάντα να κερδίσουν και τίποτα να χάσουν.