Izvor: Planet VPN
Kako se povećavaju prijevare s QR kodovima, stručnjaci za kibernetičku sigurnost upozoravaju da se mnogi korisnici nesvjesno izlažu rizicima gubitka novca ili podataka.
U napadima quishinga, kibernetički kriminalci postavljaju QR kodove koji sadrže zlonamjerne poveznice na javna mjesta, poput parkirnih automata ili restorana, ili šalju te QR kodove putem e-pošte. Takvi napadi mogu rezultirati financijskim gubicima, ukradenim osobnim podacima ili kompromitiranim uređajem, upozoravaju stručnjaci za kibernetičku sigurnost.
Početkom siječnja, američki Savezni istražni ured (FBI) izdao je upozorenje na kibernetičke napade koje su organizirali sjevernokorejski kibernetički kriminalci koji su koristili lažne QR kodove kako bi prevarili korisnike i naveli ih da dobiju osobne podatke. Prema riječima stručnjaka za kibernetičku sigurnost, slični napadi, poznati i kao "quishing", u porastu su ne samo u SAD-u već i u drugim zemljama, jer kibernetički kriminalci traže nove načine za profit.
Quishg (QR code phishing) je tehnika krađe identiteta u kojoj kibernetički kriminalci pokušavaju prevariti korisnike da skeniraju QR kodove koji vode do zlonamjernih web stranica. Organizacije u nekoliko zemalja izdale su upozorenja da zlonamjerni akteri postavljaju ove QR kodove preko legitimnih na javnim mjestima poput kioska, restorana ili parkirnih automata.
Primjerice, prošle godine, vladine institucije Ujedinjenog Kraljevstva upozorile su korisnike na lažne QR naljepnice na parkirnim automatima, a žrtve su poslane na lažne stranice za plaćanje. U međuvremenu, američka Savezna trgovinska komisija izdala je slično upozorenje o neočekivanim paketima koji sadrže QR kodove koji vode do phishing web stranica.
Takvi lažni QR kodovi mogu se dijeliti i online. Na primjer, FBI je izjavio da je sjevernokorejska državno sponzorirana kibernetička kriminalna skupina Kimusky ciljala zaposlenike organizacija ugrađivanjem zlonamjernih QR kodova u e-poštu. U jednom takvom slučaju, QR kod je predstavljen kao način preuzimanja dodatnih informacija.
Prema riječima stručnjaka za kibernetičku sigurnost iz Planet VPN-a, besplatnog pružatelja virtualne privatne mreže (VPN), bez obzira gdje se lažni QR kod nalazi, shema je slična. Nakon skeniranja, korisnik se često preusmjerava na lažnu phishing web stranicu koja oponaša legitimnu, poput web stranice restorana, gdje kibernetički kriminalci mogu pokušati teretiti korisnikovu kreditnu karticu.
Prema riječima Konstantina Levinzona, suosnivača Planet VPN-a, takve prijevare mogu dovesti ne samo do financijskih gubitaka već i do kompromitiranih uređaja.
„Quishing je phishing – samo u drugačijem obliku. QR kod može smanjiti oprez ljudi jer je ova tehnologija postala sveprisutna tek tijekom pandemije, a prijetnja još uvijek nije toliko prepoznata. Također prebacuje „rizični klik“ s vidljive poveznice na brzo skeniranje, što olakšava previđanje opasnosti. Napadači svake godine usavršavaju ove taktike i stalno pronalaze nove načine da prevare korisnike“, kaže on.
Prema Levinzonu, jedan od razloga zašto kibernetički kriminalci mogu preferirati QR kodove u e-porukama umjesto uobičajenih phishing e-poruka jest taj što QR kodovi često zaobilaze filtere protiv phishinga i prijevara, jer oni često analiziraju samo tekst i poveznice, ali ne analiziraju slike.
Čak i ako su filteri protiv neželjene pošte u e-porukama opremljeni detekcijom QR koda, kibernetički kriminalci često pronalaze nove načine da ih zaobiđu, na primjer, izradom QR kodova u različitim bojama.
Istraživači kibernetičke sigurnosti u Proofpointu procjenjuju da je tijekom prve polovice prošle godine bilo 4,2 milijuna prijetnji povezanih s QR kodovima. Međutim, Levinzon kaže da je broj vjerojatno veći jer mnoge prijevare s QR kodovima ostaju neotkrivene.
Kada je riječ o zaštiti od rastuće prijetnje, korisnicima se savjetuje da budu promišljeniji o tome kada i zašto skeniraju QR kod. Ako se nakon skeniranja QR koda osoba preusmjeri na web stranicu koja traži podatke za plaćanje ili prijavu, to je pravi znak upozorenja.
U međuvremenu, ako je QR kod poslan od nepoznatog pošiljatelja putem e-pošte, Levinzon savjetuje izravno kontaktiranje pošiljatelja prije unosa podataka za prijavu ili preuzimanja datoteka.
„Preporučujemo primjenu iste logike svugdje: ostanite skeptični bez obzira primate li poruku od kolege ili na svom osobnom računu na društvenim mrežama. Međutim, budnost je samo dio priče. Kako bi se maksimizirala sigurnost, korisnicima su potrebne i osnovne zaštitne mjere – koristite VPN na javnoj Wi-Fi mreži, pravovremeno instalirajte ažuriranja, koristite snažne lozinke i omogućite višefaktorsku autentifikaciju na svim računima“, kaže.