هل سبق لك أن مسحت رمز QR ضوئيًا بجهازك الذكي دون التفكير في العواقب؟ إنها مُلائمة جدًا لفتح الروابط وإجراء الدفعات، ولكنها تحمل أيضًا نصيبها العادل من المخاطر. ربما تكون واحدًا من الملايين الذين يستخدمون هذه التقنية بشكل يومي، ولكن هل فكرت يومًا في الخطر الذي قد يكمن وراء استخدامها بدون تفكير ثانٍ؟
في هذه المقالة، سنُناقش مفهوم “Quishing” وكيف يتم تنفيذ الهجمات باستخدام رموز QR. سنتعرف على كيفية عمل هذه الهجمات والطرق التي يمكن أن يتأثر بها الأفراد والشركات على حد سواء. حيث أنَّ هدفنا هو توفير التوعية حول هذا الخطر المُتنامي وتقديم نصائح عملية لحماية المُستخدمين من الوقوع ضحية لهذه الهجمات. تحقق من التصيّد الإلكتروني والرسائل النصية القصيرة الاحتيالية والمكالمات الهاتفية الاحتيالية: ما الفرق؟
ما هي هجمات Quishing؟
Quishing عبارة عن مزيج من كلمتي “QR” و”التصيد الاحتيالي”.
يتم هجوم Quishing عندما يرتكب أحد المُحتالين عملية تصيد احتيالي من خلال رمز الاستجابة السريعة، والتي يتم تنشيطها عند مسحه ضوئيًا. لقد قمنا سابقًا بتغطية ماهية هجمات Quishing وكيفية اكتشافها، ولكن هذا الشكل الخطير من التصيد الاحتيالي يشهد ارتفاعًا ملحوظًا في عدد الضحايا في جميع أنحاء العالم.
كيف يُمكن أن يُكبدك هجوم Quishing خسائر مالية؟
يُعد Quishing أمرًا خطيرًا لأنَّ معظم المُستخدمين لا يعتبرون أنَّ مسح رموز QR ضوئيًا يُمكن أن يُشكل أي خطورة. على هذا النحو، من المرجح أن نتبع تعليمات رمز الاستجابة السريعة، ونتوجه إلى أي عنوان URL أو خدمة يرتبط بها رمز QR. يسمح الشعور بالأمان الزائف للمُحتالين بمهاجمة المناطق التي يستخدم فيها الأشخاص رمز QR لإجراء الدفع. يدرس المُحتال موقع الويب الذي يرتبط به رمز QR، ويُنشئ نسخة طبق الأصل، ثم يستبدل رمز الاستجابة السريعة الشرعي للإشارة إلى موقع الويب المُستنسخ الخاص به.
عندما يقوم الضحية بمسح رمز QR المُزيف، يتم نقله إلى موقع الويب المُزيف، مُعتقدًا أنه يزور موقعًا شرعيًا. ويطلب موقع الويب المزيف تفاصيل شخصية، بما في ذلك معلومات الدفع. بمجرد حصول المُحتالين على هذه التفاصيل، يُمكنه القيام بعملية تسوق باستخدام الحساب البنكي للضحية.
POSTCARD SCAM!!!
BIG TIME AMAZON SCAM!!!!!
Pass it on to EVERYBODY!
DO NOT USE THE QR CODE ON THIS POSTCARD! pic.twitter.com/AFbwZWA0ps
— D (@newmediaguynyc) February 16, 2024
بعض الأمثلة على هجمات Quishing
إنَّ سرقة آلاف الدولارات من خلال مسح QR السيئ ضوئيًا يبدو وكأنه خيال علمي، لكنه حقيقة واقعة إلى حد كبير. فيما يلي بعض إجراءات الهجوم الأكثر شيوعًا التي يستخدمها المُحتالون.
1. الهجمات على عداد مواقف السيارات ونقاط الشحن
تستخدم بعض عدادات مواقف السيارات ونقاط الشحن رموز QR كجزء من عملية الدفع. لدفع الرسوم، يجب عليك مسح رمز ضوئيًا يُوجهك إلى موقع الدفع أو أحد التطبيقات لتنزيله.
🚨Scam Alert🚨
APD Financial Crimes detectives are investigating after fraudulent QR code stickers were discovered on City of Austin public parking meters. People attempting to pay for parking using those QR codes may have been directed to a fraudulent website and made a payment. pic.twitter.com/Gb8gytCYn7— Austin Police Department (@Austin_Police) January 3, 2022
يقوم المحتال باختطاف رموز QR هذه عن طريق لصق نُسختهم الضارة على النسخة الأصلية. عندما يذهب شخص ما لدفع ثمن موقف السيارات أو الكهرباء، فإنه يقوم بمسح رموز QR السيئة ضوئيًا، وإدخال تفاصيل الدفع الخاصة به في موقع الويب أو التطبيق المزيف، وإرسالها دون علم إلى المُحتال.
قد يبدو من غير الواقعي أن يخسر الأشخاص الآلاف بسبب عمليات الاحتيال هذه، لكن هذا حدث من قبل. كما ذكرت قناة ITV، فقد شخص واحد 13000 جنيه إسترليني (16500 دولار) بعد مسح رمز QR السيئ المُتاح عند عداد وقوف السيارات.
2. هجمات رمز QR عبر البريد الإلكتروني
في بعض الأحيان، يُرسل المُحتال بريدًا إلكترونيًا مُرفقًا به رمز الاستجابة السريعة. سوف يُقنعك المُحتال بمسحه ضوئيًا; على سبيل المثال، قد يذكر أنَّ الهدف من ذلك هو تنزيل تطبيق مُهم أو الادعاء بأنه من جهة إنفاذ القانون يوجب عليه الدفع. عندما يقوم الضحية بمسح رمز الاستجابة السريعة ضوئيًا، يتم توجيهه إلى موقع ويب أو تطبيق مُزيف يطلب معلومات بطاقة الائتمان الخاصة به.
أفادت HP Threat Research أن طريقة الهجوم هذه شهدت ارتفاعًا كبيرًا في الصين في عام 2022 من خلال رسالة بريد إلكتروني تدَّعي أن المستلم يحق له الحصول على منحة حكومية. طلبت العملية من المستخدمين تقديم معلومات بطاقة الائتمان الكاملة الخاصة بهم، بما في ذلك تفاصيل رصيدهم الحالي.
3. مولدات رمز QR الوهمية
في بعض الحالات، يقوم المُحتال بإعداد مولد رمز الاستجابة السريعة المزيف لخداع الأشخاص. يحدث هذا عادةً عندما يتمكن الأشخاص من استخدام رموز QR لطلب المدفوعات، حيث يُمكن للمُحتال التسلل إلى حساباتهم بدلاً من المولدات الأصلية.
أبلغت BitDefender عن مثال حيث قامت العديد من مواقع الويب بإعداد مولدات رموز QR مزيفة لمحافظ Bitcoin. طلب موقع الويب من المستخدم مُعرِّف المحفظة ووعد بإنشاء رمز الاستجابة السريعة الذي يمكن للدافع مسحه ضوئيًا واستخدامه بسهولة لإرسال العملة المُشفرة بينما يُشير الرمز في الواقع إلى محفظة Bitcoin الخاصة بالمُحتال. تحقق من أشياء ممتعة يُمكن القيام بها باستخدام رمز الاستجابة السريعة.
كيفية التحقق مما إذا كان رمز الاستجابة السريعة آمنًا
قد يبدو الأمر مُخيفًا، ولكن يمكنك إيقاف عمليات الاحتيال قبل وصولها إلى معلوماتك المالية من خلال بعض النصائح الأمنية السهلة. تحقق من طرق فعّالة لمنع وقوعك ضحية في عمليات الاحتيال عبر الرسائل القصيرة.
تحقق مما إذا كان قد تم العبث برمز الاستجابة السريعة
إذا كنت تقوم بمسح رمز QR ضوئيًا في مكان عام، فتأكد من عدم تغيير الرمز. ابحث عن علامات قيام شخص ما بلصق مُلصق فوق رمز QR الأصلي؛ إذا حدث ذلك، فلا تقم بمسح رمز الاستجابة السريعة ضوئيًا.
وبالمثل، إذا كنت تقوم بإنشاء رمز QR لتلقي الدفعات، فتأكد من مسح رمز QR ضوئيًا بنفسك والتحقق مرة أخرى من أنَّ الدفعات ستذهب إلى حيث تعتقد أنها ستذهب.
تحقق جيدًا من عنوان URL أو موقع الويب بعد مسح رمز QR ضوئيًا
بعد مسح رمز الاستجابة السريعة ضوئيًا، تحقق جيدًا من عنوان URL أو موقع الويب الذي يظهر. سيكون لموقع الويب الخاص بالمحتال عنوان URL غريب المظهر، أو لن “يبدو موقع الويب على ما يرام”. اتبع الخطوات للتحقق مما إذا كان موقع الويب آمنًا، وإذا كان هناك أي شيء يبدو مريبًا، فلا تدخل أي معلومات دفع في موقع الويب.
ابحث عن طرق بديلة للدفع
إذا كان رمز الاستجابة السريعة يبدو مريبًا، أو كنت تفضل عدم المخاطرة، فابحث عن طريقة أخرى للدفع. على سبيل المثال، إذا كان رمز الاستجابة السريعة يدَّعي أنه سيقودك إلى أحد التطبيقات، فابحث عنه يدويًا في متجر التطبيقات على هاتفك بدلاً من ذلك. إذا كان المُستلم يسمح بطرق دفع بديلة، فاستخدمها أو اسأل أحد الموظفين عنها.
يمكن أن تُكلفك هجمات Quishing الكثير من المال، ولكن أفضل دفاع ضدها هو معرفة كيفية عملها وما الذي يجب أن تبحث عنه. إذا أخذك رمز الاستجابة السريعة إلى مكان مُريب، فلا تدخل معلومات الدفع الخاصة بك. يُمكنك الإطلاع الآن على كيفية إنشاء رمز QR جذاب بسهولة باستخدام الذكاء الاصطناعي.
