QRishing je forma phishingového útoku, kdy hackeři zneužívají QR kódy k odcizení soukromých informací, instalaci škodlivého softwaru do zařízení nebo nasměrování osoby na nebezpečné webové stránky.
Jak tedy tyto útoky fungují? Jak se můžete vyhnout tomu, abyste se stali obětí útoku QRishing?
Co je QRishing?
QRishing využívá tendence uživatelů telefonů skenovat QR kódy ze zvědavosti, nudy nebo nutnosti.
Útočník může například nechat letáky na autobusové zastávce nebo na stolech v restauracích či kavárnách. Když člověk naskenuje QR kód svým telefonem v domnění, že se jedná o reklamu nebo nabídku, zobrazí se mu mimo jiné adresa URL, obrázek nebo mapa s pokyny k místu.
Od této chvíle se podvodníci spoléhají na sociální inženýrství přimět oběti ke sdílení citlivých informací. Hackeři mohou také zneužít zranitelnosti, jako jsou chyby WebKit v prohlížeči, aby převzali zařízení oběti.
Jak QRishing funguje?
Samozřejmě, že ne každý by naskenoval náhodný QR kód bez pobídky nebo titulku vysvětlujícího, co může očekávat. Kyberzločinci si tedy často najdou jiný způsob, jak lidi zaujmout.
Změňte oblíbené nebo důvěryhodné QR kódy
Kyberzločinec si může vzít leták například od oblíbené finanční instituce nebo vládní agentury. Dále změní QR kód, ale ponechají si další podrobnosti nebo návrhy a sdílejí leták online. Mohou je také zveřejňovat na veřejných místech, kde lidé mohou QR kód vidět a naskenovat. Tento konkrétní trik byl dobře hlášen po Reklama s QR kódem Coinbase na Super Bowlu 2022 se stal virálním.
Vložte falešné letáky pomocí QR kódu
Zde může kyberzločinec vytvořit falešné letáky s QR kódem, který nasměruje lidi, kteří je naskenují, na webovou stránku, kde může útočník ukrást jejich data. I když tento pokus selže, útočník může stále shromažďovat údaje o zařízení a poloze z prohlížeče oběti. Ještě horší je, že odhodlaný útočník by mohl použít otisky prstů prohlížeče ke sledování oběti online.
Vložte QR kód do podvodného e-mailu
Tato forma QRishing je obvykle součástí konvenčních e-mailových phishingových metod. Na rozdíl od zkrácených hypertextových odkazů se při umístění kurzoru na QR kód nezobrazí cílová adresa URL, takže např pro podvodníka je například snadné sdělit potenciální oběti, aby naskenovala QR kód a měla šanci vyhrát dárková poukázka.
Jak se vyhnout QRishing
Naskenování a načtení QR kódu většinou vyžaduje dvě věci: fotoaparát a prohlížeč pro sledování informací v QR kódu. Jak je to tak jednoduché, znamená to, že je snadné se také nestát obětí. Zde je návod.
Zablokujte přístup k fotoaparátu v telefonu
Většina lidí má fotoaparáty svého telefonu připravené k zachycení důležitých okamžiků nebo k videohovorům. To je pochopitelné. Ale mít stále zapnutý fotoaparát vám také může usnadnit skenování QR kódu, aniž byste nad tím přemýšleli.
Zvážit deaktivaci fotoaparátu iPhone když se nepoužívá. Jedním rychlým způsobem, jak toho dosáhnout, je přejet prstem dolů z oznamovací oblasti a zablokovat přístup k fotoaparátu. Druhým způsobem je navigace Nastavení > Aplikace > Oprávnění. Poté můžete kameru deaktivovat nebo nastavit tak, aby požadovala přístupová oprávnění pokaždé, když budete chtít aplikaci použít. Postup je podobný pro uživatele Androidu.
Tuto změnu životního stylu nepochybně pocítíte, zvláště pokud budete fotoaparát hodně používat. Přesto občasné nepohodlí spojené s deaktivací a aktivací fotoaparátu stojí za extra zabezpečení proti QRishing a aplikacím třetích stran, které mají přístup k vašemu fotoaparátu.
Udržujte svůj software aktualizovaný
Hackeři mohou zneužít zranitelnosti softwaru ve vašich aplikacích nebo operačním systému telefonu bez vašeho vědomí. Hackeři mohou například zneužít bezpečnostní zranitelnost WebKitu ve vašem prohlížeči k hacknutí vašeho telefonu, tabletu nebo dokonce chytrých hodinek. Zvažte nastavení zařízení na automatickou aktualizaci aplikací a nainstalovat aktualizace zabezpečení jakmile budou k dispozici.
Vyhněte se sdílení citlivých informací online
Naskenování QR kódu vás může přesměrovat na webovou stránku nebo online formulář, kde budete požádáni o poskytnutí informací jako jsou vaše biodata, e-mailová adresa, hesla k účtům nebo údaje o kartě, abyste měli šanci vyhrát fiktivní cenu.
Obecně se vyhněte sdílení jakýchkoli osobních údajů online. Kromě rizika hacknutí vašeho účtu nebo odcizení peněz mohou kyberzločinci také použít údaje, které jste sdíleli ukrást vaši identitu.
Přemýšlejte před skenováním
Nemusíte skenovat každý QR kód, který vám bude předložen. Zůstaňte skeptičtí a zdržte se zbytečného skenování. Ve většině případů můžete webové stránky nebo nabídku firmy zkontrolovat tak, že je nejprve vyhledáte online.
QRishing: Méně časté, ale zůstaňte napřed
QRishing je méně běžný než jiné typy phishingu, protože útočník by musel investovat určité úsilí do distribuce škodlivého QR kódu. Tato forma phishingu je však relativně nová a málokdo o ní ví, což znamená, že jí lidé mohou snadno propadnout. Kyberzločinci, kteří provádějí tyto útoky, mají co získat a co ztratit.
