Oszustwo, o którym się nie mówi - trudno je wykryć i jest groźne
Oszustwo na kody QR jest znane od lat, ale ostatnio mocno zyskuje na popularności. Firma Cofense ostrzega o dużej kampanii phishingowej, której celem były amerykańskie przedsiębiorstwa. Problem w tym, że pracownicy firm nie zawsze wiedzą, jak unikać podobnych oszustw i ryzykują poważnymi konsekwencjami.
Oszustwo na kody QR to właściwie rodzaj phishingu, ale w sprytniejszej, trudniej wykrywalnej formie. Z tego też powodu przygotowano nawet specjalne określenie takich oszustw – QRishing.
W ostatnich miesiącach widać nasilenie tego typu ataków. Firma Cofense informuje nawet o dużej kampanii phishingowej wykorzystującej kody QR, której celem padły amerykańskie przedsiębiorstwa.
Dalsza część artykułu pod materiałem wideo
Oszustwo na kod QR – trudno je wykryć
Zasada działania oszustwa na kod QR nie jest specjalnie skomplikowana, ale może być podchwytliwa dla mniej doświadczonych osób. Szczególnie, że bardzo często nie mówi się o nim przy omawianiu podstawowych zasad bezpieczeństwa.
W przypadku omawianej kampanii przestępcy wysyłali sfałszowane wiadomości e-mail, które zachęcały do zeskanowania kodu QR. W teorii miało chodzić o procedury bezpieczeństwa i włączenie weryfikacji 2FA. Taka argumentacja mogła poprawić wiarygodność informacji.
Problem w tym, że link z kodu QR był sprytnie ukryty - oszuści zastosowali link z przekierowaniem przez domenę Bing.com, ciąg znaków istotny dla działań marketingowych i dopiero na końcu umieścili adres e-mail i link do strony docelowej (i to zakodowany w Base64).
Spore nasilenie oszustw na kod QR
Firmę Cofense ostrzega, że w ostatnim czasie widać nasilenie kampanii z oszustwami na kody QR. Co prawda dokładne zmierzenie skuteczności kampanii właściwie jest niemożliwe, ale w ostatnich miesiącach takich e-maili przybywa - w maju zanotowano wzrost o 270 proc. w ujęciu miesiąc do miesiąca, w czerwcu było to aż 500 proc, a w lipcu 155 proc. Ciągle mówimy o wzroście zgłoszeń.
Pracownicy bardzo często nie mają świadomości kampanii phishingowych wykorzystujących kod QR (znacznie częściej ostrzega się przed klikaniem w zwykłe linki, ale pomija się "otwieranie" linków zakodowanych w kodach QR). Dodatkowe przekierowanie może zmylić czujność użytkowników i uwiarygodnić wiadomość oszustów. Kliknięcie w złośliwy link może narazić firmę na niebezpieczeństwo, ułatwić kradzież poufnych informacji czy po prostu wyczyścić nam konto z oszczędności.
Jak zabezpieczyć się przed oszustwami na kod QR
Przede wszystkim powinniśmy zachować ostrożność. Zasady bezpieczeństwa bardzo często ostrzegają przed klikaniem w linki, ale zwykle już nie poruszają kwestii skanowania linków zakodowanych w kodach QR (a zasada działania jest tutaj bardzo podobna).
Kampanie wykorzystujące kody QR mogą pojawić się w najróżniejszych sytuacjach. Niedawno pisaliśmy o oszustwie na parkomaty, gdzie umieszczono fałszywe kody QR z podstawionymi linkami do płatności. Łatwość użycia kodów QR upraszcza wiele spraw, ale może ograniczać naszą czujność.
Paweł Maziarz, dziennikarz dobreprogramy.pl