Oszustwo, o którym się nie mówi - trudno je wykryć i jest groźne

Oszustwo na kody QR jest znane od lat, ale ostatnio mocno zyskuje na popularności. Firma Cofense ostrzega o dużej kampanii phishingowej, której celem były amerykańskie przedsiębiorstwa. Problem w tym, że pracownicy firm nie zawsze wiedzą, jak unikać podobnych oszustw i ryzykują poważnymi konsekwencjami.

Podstawione kody QR to bardzo sprytny sposób oszustwa
Podstawione kody QR to bardzo sprytny sposób oszustwa
Źródło zdjęć: © Adobe Stock
Paweł Maziarz

Oszustwo na kody QR to właściwie rodzaj phishingu, ale w sprytniejszej, trudniej wykrywalnej formie. Z tego też powodu przygotowano nawet specjalne określenie takich oszustw – QRishing.

W ostatnich miesiącach widać nasilenie tego typu ataków. Firma Cofense informuje nawet o dużej kampanii phishingowej wykorzystującej kody QR, której celem padły amerykańskie przedsiębiorstwa.

Dalsza część artykułu pod materiałem wideo

Oszustwo na kod QR – trudno je wykryć

Zasada działania oszustwa na kod QR nie jest specjalnie skomplikowana, ale może być podchwytliwa dla mniej doświadczonych osób. Szczególnie, że bardzo często nie mówi się o nim przy omawianiu podstawowych zasad bezpieczeństwa.

Przykład fałszywej wiadomości, która zachęcała do kliknięcia w kod QR
Przykład fałszywej wiadomości, która zachęcała do kliknięcia w kod QR© Cofense

W przypadku omawianej kampanii przestępcy wysyłali sfałszowane wiadomości e-mail, które zachęcały do zeskanowania kodu QR. W teorii miało chodzić o procedury bezpieczeństwa i włączenie weryfikacji 2FA. Taka argumentacja mogła poprawić wiarygodność informacji.

Problem w tym, że link z kodu QR był sprytnie ukryty - oszuści zastosowali link z przekierowaniem przez domenę Bing.com, ciąg znaków istotny dla działań marketingowych i dopiero na końcu umieścili adres e-mail i link do strony docelowej (i to zakodowany w Base64).

Spore nasilenie oszustw na kod QR

Firmę Cofense ostrzega, że w ostatnim czasie widać nasilenie kampanii z oszustwami na kody QR. Co prawda dokładne zmierzenie skuteczności kampanii właściwie jest niemożliwe, ale w ostatnich miesiącach takich e-maili przybywa - w maju zanotowano wzrost o 270 proc. w ujęciu miesiąc do miesiąca, w czerwcu było to aż 500 proc, a w lipcu 155 proc. Ciągle mówimy o wzroście zgłoszeń.

Pracownicy bardzo często nie mają świadomości kampanii phishingowych wykorzystujących kod QR (znacznie częściej ostrzega się przed klikaniem w zwykłe linki, ale pomija się "otwieranie" linków zakodowanych w kodach QR). Dodatkowe przekierowanie może zmylić czujność użytkowników i uwiarygodnić wiadomość oszustów. Kliknięcie w złośliwy link może narazić firmę na niebezpieczeństwo, ułatwić kradzież poufnych informacji czy po prostu wyczyścić nam konto z oszczędności.

Jak zabezpieczyć się przed oszustwami na kod QR

Przede wszystkim powinniśmy zachować ostrożność. Zasady bezpieczeństwa bardzo często ostrzegają przed klikaniem w linki, ale zwykle już nie poruszają kwestii skanowania linków zakodowanych w kodach QR (a zasada działania jest tutaj bardzo podobna).

Kampanie wykorzystujące kody QR mogą pojawić się w najróżniejszych sytuacjach. Niedawno pisaliśmy o oszustwie na parkomaty, gdzie umieszczono fałszywe kody QR z podstawionymi linkami do płatności. Łatwość użycia kodów QR upraszcza wiele spraw, ale może ograniczać naszą czujność.

Paweł Maziarz, dziennikarz dobreprogramy.pl

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (9)