Вы когда-нибудь сканировали QR-код своим умным устройством, не задумываясь о последствиях? Они очень удобны для открытия ссылок и проведения платежей, но также несут в себе изрядную долю рисков. Вы можете быть одним из миллионов, кто использует эту технологию ежедневно, но задумывались ли вы когда-нибудь об опасности, которая может таить в себе ее использование, не задумываясь?
В этой статье мы обсудим концепцию «Квишинга» и способы осуществления атак с использованием QR-кодов. Мы узнаем, как работают эти атаки и как от них могут пострадать как частные лица, так и предприятия. Наша цель — повысить осведомленность об этой растущей угрозе и предоставить практические советы, которые помогут защитить пользователей от подобных атак. Проверять Фишинг, мошеннические SMS и мошеннические телефонные звонки: в чем разница?
Что такое Квишинг-атаки?
Квишинг — это сочетание слов «QR» и «фишинг».
Атака Quishing происходит, когда мошенник совершает фишинговую атаку через QR-код, который активируется при его сканировании. Ранее мы рассказывали, что это такое Удушающие атаки Как его обнаружить, но число жертв этого опасного вида фишинга заметно растет во всем мире.
Как атака Квишинга может привести к финансовым потерям?
Кишинг опасен, поскольку большинство пользователей не считают сканирование QR-кодов каким-либо риском. Таким образом, мы с большей вероятностью будем следовать инструкциям QR-кода и перейдем к любому URL-адресу или услуге, на которую ссылается QR-код. Ложное чувство безопасности позволяет мошенникам атаковать места, где люди используют QR-код для совершения платежа. Мошенник изучает веб-сайт, на который ссылается QR-код, создает дубликат, а затем заменяет законный QR-код, чтобы он указывал на свой собственный клонированный веб-сайт.
Когда жертва сканирует поддельный QR-код, она попадает на поддельный веб-сайт, думая, что посещает законный сайт. Поддельный веб-сайт запрашивает личные данные, включая платежную информацию. Как только мошенники получат эти данные, они смогут совершать покупки, используя банковский счет жертвы.
МОШЕННИЧЕСТВО С ПОЧТОЧКОЙ!!!
БОЛЬШОЕ ВРЕМЯ МОШЕННИЧЕСТВА НА АМАЗОНКЕ!!!!!
Передайте ВСЕМ!
НЕ ИСПОЛЬЗУЙТЕ QR-КОД НА ЭТОЙ ОТКРЫТКЕ! pic.twitter.com/AFbwZWA0ps
— Д (@newmediaguynyc) 16 февраля 2024
Некоторые примеры атак Quishing
Кража тысяч долларов с помощью плохого QR-сканирования звучит как научная фантастика, но это вполне реальность. Ниже приведены некоторые из наиболее распространенных мер атак, используемых мошенниками.
1. Нападения на паркоматы и пункты зарядки
Некоторые паркоматы и пункты зарядки используют QR-коды в процессе оплаты. Чтобы оплатить комиссию, вам необходимо отсканировать код, который направит вас на сайт оплаты или приложение для загрузки.
Предупреждение о мошенничестве🚨
Детективы отдела финансовых преступлений APD проводят расследование после того, как на счетчиках общественной парковки города Остин были обнаружены мошеннические наклейки с QR-кодом. Люди, пытающиеся оплатить парковку с помощью этих QR-кодов, могли быть перенаправлены на мошеннический веб-сайт и совершили платеж. pic.twitter.com/Gb8gytCYn7- Департамент полиции Остина (@Austin_Police) 3 января 2022
Мошенник похитил эти QR-коды, вставив их вредоносную копию поверх оригинала. Когда кто-то идет платить за парковку или электричество, он сканирует неверные QR-коды, вводит свои платежные данные на поддельный веб-сайт или в приложение и неосознанно отправляет их мошеннику.
Может показаться нереальным, что люди могут потерять тысячи людей в результате такого мошенничества, но такое уже случалось. Как сообщает канал ITV, один человек потерял 13000 16500 фунтов стерлингов (XNUMX XNUMX долларов США) после сканирования неправильного QR-кода, предоставленного на парковочном счетчике.
2. Атаки с использованием QR-кода по электронной почте
Иногда мошенник отправляет электронное письмо с прикрепленным QR-кодом. Мошенник убедит вас отсканировать его; Например, они могут заявить, что цель — загрузить важное приложение, или заявить, что правоохранительные органы требуют от них оплаты. Когда жертва сканирует QR-код, она перенаправляется на поддельный веб-сайт или приложение, запрашивающее данные ее кредитной карты.
сообщил Исследование угроз HP Этот метод атаки получил всплеск популярности в Китае в 2022 году, когда в электронном письме утверждалось, что получатель имеет право на правительственный грант. Процесс требовал от пользователей предоставления полной информации о своей кредитной карте, включая сведения о текущем балансе.
3. Генераторы поддельных QR-кодов
В некоторых случаях мошенник устанавливает фальшивый генератор QR-кода, чтобы обмануть людей. Обычно это происходит, когда люди могут использовать QR-коды для запроса платежей, когда мошенник может взломать их учетные записи вместо оригинальных генераторов.
Я сообщил BitDefender О примере, когда несколько веб-сайтов установили генераторы поддельных QR-кодов для биткойн-кошельков. Веб-сайт запросил у пользователя идентификатор кошелька и пообещал сгенерировать QR-код, который плательщик сможет легко отсканировать и использовать для отправки криптовалюты, хотя на самом деле код указывал на биткойн-кошелек мошенника. Проверять Интересные вещи, которые можно сделать с QR-кодом.
Как проверить безопасность QR-кода
Это может показаться пугающим, но вы можете остановить мошенников до того, как они получат доступ к вашей финансовой информации, воспользовавшись несколькими простыми советами по безопасности. Проверять Эффективные способы не стать жертвой смс-мошенников.
Проверьте, не был ли подделан QR-код
Если вы сканируете QR-код в публичном месте, убедитесь, что код не изменился. Ищите признаки того, что кто-то наклеил наклейку поверх исходного QR-кода; В этом случае не сканируйте QR-код.
Аналогично, если вы создаете QR-код для получения платежей, обязательно отсканируйте QR-код самостоятельно и дважды проверьте, идут ли платежи туда, куда, по вашему мнению, они пойдут.
Дважды проверьте URL-адрес или веб-сайт после сканирования QR-кода.
После сканирования QR-кода еще раз проверьте появившийся URL-адрес или веб-сайт. Веб-сайт мошенника будет иметь странный URL-адрес или веб-сайт будет выглядеть «неправильно». Следуйте инструкциям, чтобы проверить, так ли это. Сайт безопасенЕсли что-то выглядит подозрительно, не вводите платежную информацию на веб-сайт.
Найдите альтернативные способы оплаты
Если QR-код выглядит подозрительно или вы не хотите рисковать, найдите другой способ оплаты. Например, если QR-код якобы ведет вас к приложению, вместо этого найдите его вручную в магазине приложений вашего телефона. Если получатель разрешает альтернативные способы оплаты, воспользуйтесь ими или спросите о них у сотрудника.
Атаки Quishing могут стоить вам больших денег, но лучшая защита от них — знать, как они работают и на что обращать внимание. Если QR-код приведет вас в подозрительное место, не вводите платежную информацию. Вы можете просмотреть сейчас Как легко создать привлекательный QR-код с помощью искусственного интеллекта.
