Квишинг — новый фишинг: что следует об этом знать
Когда пару лет назад мне на глаза попалась реклама компании, представляющая собой не что иное, как QR-код, мне пришла в голову мысль: «Это добром не кончится». Дело в том, что QR-коды, как и все остальное, поначалу кажутся безобидными... пока не начинаются проблемы.
Сейчас мы подошли к тому моменту, когда QR-коды стали использоваться в качестве оружия в фишинговых атаках. И называется это квишинг. Несколько слов о предпосылках.
Что такое фишинг?
Фишинг — это разновидность социальной инженерии, которую злоумышленники используют, чтобы обманом заставить людей поделиться конфиденциальной информацией (такой как имена пользователей и пароли) или установить вредоносное программное обеспечение.
Фишинг существует уже очень давно, и за эти годы он принимал различные формы. Новый вариант фишинга, использующий QR-коды, это и есть квишинг.
Что такое квишинг?
Приведем пример. Во время трансляции Суперкубка в эфире показали рекламу, содержащую QR-код. Теперь представьте, что у компании, стоящей за этим рекламным роликом, был злой умысел. QR-код открыл браузер вашего телефона и автоматически загрузил и установил программу-вымогатель. Учитывая количество людей, которые смотрят Суперкубок, исход такой атаки может быть катастрофическим.
Это и есть квишинг. Одурачить человека, заставив его думать, что что-то безвредно (или необходимо), и получить доступ к конфиденциальной информации, украсть учетные данные банковского счета и многое другое.
Почему это проблема?
QR-коды есть везде: в ресторанах и общественном транспорте, на вывесках, на стенах, в ванных комнатах, в рекламных объявлениях, и даже товары поставляются с QR-кодами, чтобы потребители могли открыть руководство пользователя на своих телефонах.
Мы все только недавно приняли QR-код. И мы ему доверяем. В конце концов, насколько опасным может быть простой QR-код? Ответ на этот вопрос — очень. Киберпреступники рассчитывают на то, что большинство людей считают QR-коды безопасными. И они также понимают, что самые легкие мишени для них — это пользователи мобильных телефонов. Почему? Потому что большинство десктопных операционных систем включают защиту от фишинга. Смартфоны же гораздо более уязвимы для таких атак.
На данный момент большинство квишинговых атак связаны с отправкой QR-кода по электронной почте. Чаще всего такие письма сообщают пользователю, что он должен подтвердить учетную запись и что сделать это необходимо в течение определенного периода времени, иначе учетная запись будет заблокирована или закрыта. Идея заключается в том, что пользователь, получив QR-код в письме на компьютере, отсканирует его с помощью телефона. После сканирования QR-код нанесет ущерб устройству.
Конечно, это не единственный способ злоумышленного использования QR-кодов. Например, что мешает киберпреступнику расклеить QR-коды повсюду, зная, что какой-нибудь наивный прохожий отсканирует один из них и запустит запланированную атаку?
Что вы можете сделать?
Самое простое, что вы можете сделать, — это не сканировать QR-коды, особенно полученные из неизвестных источников. Я сканирую QR-код только после того, как проверю источник, и только в случае крайней необходимости.
Если вы получили электронное письмо с QR-кодом, первое, что следует сделать, это проверить подлинность отправителя. Например, если письмо предположительно от компании Y, но вы обнаружили, что оно отправлено c Gmail или какого-то случайного (неизвестного) домена, велика вероятность, что это квишинговая атака.
Лучший совет заключается в том, что никогда не следует сканировать QR-код, присланный по электронной почте. Законные компании всегда вышлют инструкции о том, как и что нужно сделать. И большинство компаний, конечно же, не станут отправлять QR-код, чтобы вы могли подтвердить свою учетную запись. Что же касается случайных QR-кодов, с которыми вы сталкиваетесь в жизни, просто не связывайтесь с ними. Если вы позволите своему любопытству взять над вами верх, последствия могут вам не понравиться.
То же самое касается SMS-сообщений от неизвестных отправителей: QR-коды в них могут оказаться опасными. Поэтому, если вы не уверены на 100% в источнике QR-кода, никогда не сканируйте его с помощью телефона.
Источник: www.zdnet.com
Опубликовано 28.10.2023