Logo SOS MaS
Sdružení obrany spotřebitelů Moravy a Slezska, z.s.

608 722 582

Logo SOS MaS
Sdružení obrany spotřebitelů Moravy a Slezska, z.s.

Do slovníčku pojmů označujících různé druhy kybernetických podvodů nebo útoků přibyl další nový – quishing. Jedná se o další formu vylákání citlivých údajů od oběti takového podvodu, tentokrát pomocí QR kódů. Podle společnosti Check Point, zaměřující se na kybernetickou bezpečnost, za poslední měsíce narostl počet podvodů přes QR kódy téměř 20krát.

Princip je podobný jako u dalších – shingů – cílem je od oběti vylákat údaje, které by normálně nikomu cizímu nesdělila. Branou k podvodu zvanému „quishing“ je QR kód, kdy odkaz, na který QR kód vede, je škodlivý a vede nejčastěji na podvodnou webovou stránku. Terčem podobných triků se nemusí stát jen jednotliví koncoví uživatelé, ale také velké společnosti.

Proč roste počet útoků skrze QR kódy?

Připravit podvod za QR kód je poměrně jednoduché, navíc proti běžnému URL odkazu vypadá QR kód na první pohled jako něco sofistikovanějšího, tím pádem i důvěryhodnějšího. „QR kód sám o sobě vypadá neškodně a snadno se za něj skryje škodlivý úmysl.

V drtivé většině případů se za QR kódem skrývá odkaz vedoucí na webovou stránku. Hackeři mohou tímto odkazem uživatele přesměrovat například na stránku, jejímž cílem je krádež přihlašovacích údajů. Záminkou může být, že vypršela platnost vícefaktorového ověřování společnosti Microsoft a je třeba vše znovu ověřit. Ačkoli je ve zprávě uvedeno, že pochází od oddělení zabezpečení společnosti Microsoft, adresa odesílatele je jiná. Jakmile však uživatel naskenuje QR kód, bude přesměrován na stránku, která vypadá jako stránka společnosti Microsoft, ale ve skutečnosti je to jen stránka pro sběr přihlašovacích údajů.

Co jsou QR kódy?

QR kódy jsou dvoudimenzionální čárové kódy, které může skenovat chytrý telefon nebo čtečka čárových kódů. Tyto vylepšené kódy mají mnoho výhod oproti tradičním jednodimenzionálním verzím, které jsme zvyklí vidět na produktech v supermarketech. Některé z výhod zahrnují schopnost uchovávat velké objemy dat, možnost jejich čtení i při částečném poškození a pohodlnost a rychlost přenosu dat.

V posledních letech došlo k obrovskému nárůstu používání těchto kódů. Během pandemie se poskytovatelé služeb začali na ně spoléhat k zajištění bezpečného pokračování podnikání při dodržování pravidel sociálního distancování. Nedávná studie potvrzuje, že do roku 2025 bude 99,5 milionu uživatelů ve Spojených státech používat své telefony ke skenování QR kódů. Další studie naznačuje, že 59 % si myslí, že skenování QR kódů bude trvalou součástí používání telefonu v budoucnosti.

Mnoho výhod QR kódů, včetně schopnosti obsahovat velké množství dat a možnosti skenovat je jak na obrazovkách, tak na papíře – což nebylo možné s tradičními čárovými kódy – přimělo různé odvětví zkoumat jejich využití, zejména pro účely zpracování plateb, marketingu a reklamy. Nyní najdeme QR kódy na veřejných místech, jako jsou billboardy, restaurace, letáky a samolepky, ve svém telefonu a e-mailu prostřednictvím textových zpráv, sociálních médií a e-mailů.

Co je quishing?

QR kódy zažily v posledních letech skvělý rozvoj, pronikly do téměř každého aspektu našich životů, od prohlížení nabídek v restauracích a placení za produkty nebo služby online i offline až po snadnější přístup na webové stránky. Zatímco pozitiva QR kódů jsou zřejmá z obchodního i uživatelského pohledu, jejich používání má některá úskalí.

Během Super Bowlu v roce 2022 vyvinula kryptoměnová společnost Coinbase velmi inovativní reklamu, která ukazovala QR kód skákající po obrazovce. Uživatelé, kteří tento inzerát naskenovali, byli přesměrováni ke stažení aplikace a zároveň obdrželi 15 dolarů v Bitcoinu. Zatímco inzerát určitě fungoval pro Coinbase, zvyšující instalace jejich aplikace o 309 %, v kybernetické bezpečnostní komunitě způsobil rozruch. Odborníci opět vyjádřili obavy ohledně snadnosti, s jakou byly skenovány neznámé QR kódy. O obavy bylo oprávněno, protože několik týdnů předtím se šířily zprávy o podvodech s QR kódy v oblasti kryptoměn. Podvodníci využívali kódy k nucení obětí k výběru peněz z penzijních nebo investičních účtů pomocí fyzických kryptoměnových bankomatů spárovaných s QR kódy.

Tato relativně nová metoda se nazývá quishing, což je spojení QR a phishing, a je pravděpodobné, že se stane stále oblíbenější mezi kybernetickými zločinci, jakmile bude používání QR kódů ještě rozšířenější. Abychom lépe pochopili, co quishing je, podívejme se nejprve na jeho dvě hlavní složky: QR kódy a phishing.

Jak funguje quishing?

Quishing je typ útoku phishingu, který využívá QR kód k tomu, aby lidi obelstil, jeho užitím uživatele přesměruje k návštěvě škodlivé webové stránky nebo ke stažení dokumentu, kde se vyskytuje tzv. vir. Díky možnosti hostit různé zdroje, jako jsou odkazy, dokumenty a platební portály, lze QR kódy manipulovat tak, aby obsahovaly škodlivé odkazy, dokumenty obsahující viry a falešné platební portály. Jelikož zdroj za QR kódy není detekovatelný, když je vložen jako obyčejný obrázek, poskytují podvodníkům ideální příležitost obejít bezpečnostní filtry tím, že je zahrnou do e-mailů. Útok quishing začíná tím, že kyberútočníci vytvoří QR kódy, které vedou buď k falešné přihlašovací stránce, kde shromažďují přihlašovací údaje svých obětí nebo ke stažení viru nebo malwaru, který začne stahovat ihned po naskenování kódu. Tyto kódy lze pak vložit do e-mailů jako obrázky nebo do příloh, ale mohou být také zobrazeny na veřejných místech, kde je velmi pravděpodobné, že je lidé naskenují. Po naskenování QR kódu jsou dotázáni, aby poskytli informace typu přihlašovací údaje nebo bankovní údaje, nebo ke stažení škodlivého softwaru nebo aplikací – stahování může také proběhnout automaticky ihned po naskenování kódu, čímž dochází k dalšímu napadení zařízení.

Nedávným příkladem quishingu bylo využití legitimních účtů zaměstnanců, které byly předtím kompromitovány, k získání přístupu k přihlašovacím údajům Microsoftu. Útočníci poslali e-maily, ve kterých byla údajně hlasová zpráva od majitele účtu, kterou šlo poslechnout pouze po naskenování QR kódu. Po naskenování tohoto kódu byli zaměstnanci přesměrováni na reálně vypadající přihlašovací stránku Microsoftu, kde bezvědomky poskytli své údaje útočníkům. Podobný typ útoku se týkal podvodníků, kteří se vydávali za banku a zasílali zákazníkům e-maily, ve kterých je žádali, aby souhlasili s novou zásadou ochrany dat nebo zkontrolovali nové bezpečnostní postupy naskenováním QR kódu. Jakmile byl kód naskenován, zákazníci byli přesměrováni na stránku, která vypadala jako přihlašovací stránka banky.

Způsoby, jak se chránit před quishingem

Útoky QR phishingem mají mnoho společného s tradičními phishingovými útoky, od kontroly adresy odesílatele až po formulace zprávy. Jak se chránit? Zde jsou následující doporučení:

  • Ověřte zdroj QR kódu: Vyhněte se skenování QR kódů od neznámých osob, zvláště pokud nabízí „neodolatelné“ nabídky nebo slevy.
  • Používejte spolehlivou čtečku QR kódů: Většina chytrých telefonů umožňuje skenovat QR kódy pomocí vestavěného skeneru v kameře nebo Google Lens.
  • Náhled URL: Pokud vaše aplikace pro skenování QR kódů tuto funkci nabízí, zkontrolujte odkaz.
  • Buďte obezřetní ohledně informací, které poskytnete po naskenování QR kódu: Pokud jste vyzváni ke kliknutí na odkaz a zadání osobních informací nebo dat, zkontrolujte logo a celou URL adresu.
  • Aktivujte dvoufaktorovou autentizaci: Toto ověření je doporučeno pro účty na sociálních sítích až po emailové schránky.
  • Pravidelná školení o bezpečnosti: Být o krok před kyberútočníky znamená naučit se, jak jednají, a co dělat, když vám hrozí potenciální nebezpečí útoku.


zdroj:
Kraje pro bezpečný internet, 3.12.2024 (https://www.kpbi.cz/vim-kam-klikam-clanky-detail/466/19)

foto: ilustrační, canva.com