Quishing – jak wyglądają ataki z wykorzystaniem kodów QR?

Kod QR to niezwykle przydatne rozwiązanie technologiczne, które w tym roku obchodzi swoje 30-te urodziny. Rozwiązanie to zostało wynalezione w 1994 roku przez firmę Denso Wave będącą w posiadaniu koncernu Toyota.

Kod QR składa się z czarnych modułów (kwadratów), które domyślnie ułożone są na białym tle w formie kwadratu. Informacje kodowane są w pionie i poziomie, co pozwala na przechowywanie znacznie większej ilości danych, niż na klasycznych kodach kreskowych (jednowymiarowych). Dodatkowo dzięki swojej strukturze kody QR mogą być skanowane nawet w przypadku częściowego uszkodzenia lub zabrudzenia, ponieważ posiadają wbudowane mechanizmy korekcji błędów.

Zobacz również:

Na przestrzeni ostatnich lat kody QR znacząco się upowszechniły. Wszystko dzięki smartfonom z wbudowanymi aparatami, które pozwalają na wygodne skanowanie kodów QR. W kodach QR najczęściej przechowywane są adresy URL, tekst, hiperłącza, adresy e-mail czy dane do połączenie z Wi-Fi. Kody QR bardzo często wykorzystuje się również do konfiguracji kart eSIM czy parowania urządzeń Internetu Rzeczy.

Kody QR z pewnością są niesamowicie wygodne i upraszają komunikację między urządzeniami, przesyłanie danych czy konfiguracje nowych urządzeń. Niestety są również bardzo łatwym i coraz częstszym celem ataków cybernetycznych.

Czym jest Quishing?

Coraz częściej na świecie spotykamy się z atakami z wykorzystaniem kodów QR. Otrzymały one swoją nazwę – Quishing, która pochodzi od połączenia słów QR oraz phishing. Wszystko za sprawą schematu działania ataków z wykorzystaniem kodów QR, które mocno przypominają klasyczne ataki phishingowe.

Quishing ma miejsce, gdy oszust popełnia akt phishingu za pomocą kodu QR, który aktywuje się po jego zeskanowaniu. Ta niebezpieczna forma phishingu odnotowuje znaczny wzrost liczby ofiar na całym świecie. Wszystko ze względu na wysoką popularność kodów QR, które dotychczas uznawane były za przydatne i bezpieczne, a nikt wcześniej nie podnosił kwestii cyberbezpieczeństwa związanych z wykorzystaniem kodów QR w przestrzeni publicznej.

Jak działa atak Quishingowy?

Quishing jest niebezpieczny, ponieważ większość osób nie traktuje skanowania kodów QR poważnie. W związku z tym jesteśmy bardziej skłonni postępować zgodnie z instrukcjami kodu QR, kierując się do dowolnego adresu URL lub usługi, do której prowadzi kod QR. Zmniejszone poczucie bezpieczeństwa pozwala oszustom atakować obszary, w których ludzie używają kodu QR do dokonywania płatności. Oszust bada stronę internetową, do której odsyła kod QR, tworzy replikę, a następnie zastępuje legalny kod QR, aby wskazywał na sklonowaną witrynę.

Gdy ofiara skanuje fałszywy kod QR, zostaje przeniesiona na fałszywą stronę internetową, wierząc, że odwiedza legalną witrynę. Fałszywa witryna prosi o podanie danych osobowych, w tym informacji dotyczących płatności. Gdy oszuści zdobędą te dane, mogą dokonać zakupów przy użyciu konta bankowego ofiary.

Niestety w praktyce mało osób weryfikuje adres URL do którego odnosi się kod QR mimo, że jest to możliwe nawet przed otwarciem strony.

Poniżej prezentujemy przykładowy wpis z portalu X odnoszący się do ataku z wykorzystaniem Quishingu. W tym konkretnym przypadku cyberprzestępcy podszywając się pod Amazon oferują kartę podarunkową do tego sklepu internetowego po zeskanowaniu kodu QR i wykonaniu interakcji ze strony użytkownika.

POSTCARD SCAM!!!

BIG TIME AMAZON SCAM!!!!!

Pass it on to EVERYBODY!

DO NOT USE THE QR CODE ON THIS POSTCARD! pic.twitter.com/AFbwZWA0ps

— D (@newmediaguynyc) February 16, 2024

Najpopularniejsze rodzaje ataków Quishingowych

Na przestrzeni ostatnich miesięcy w sieci odnotowuje się coraz większą liczbę ataków z wykorzystaniem kodów QR. Do najpopularniejszych z nich możemy zaliczyć:

• Ataki na parkometry i punkty ładowania aut elektrycznych
• Ataki z użyciem kodów QR w wiadomościach e-mail
• Generatory fałszywych kodów QR

Niektóre parkometry i punkty ładowania wykorzystują kody QR jako część procesu płatności. Przestępcy przejmują te kody QR, naklejając ich złośliwą wersję na oryginał. Gdy ktoś chce zapłacić za parking lub prąd, skanuje aplikację, wprowadza dane dotyczące płatności na fałszywej stronie internetowej lub w aplikacji i nieświadomie wysyła je do oszustów.

Czasami oszuści wysyłają wiadomość e-mail z załączonym kodem QR. Cyberprzestępca przekonuje użytkownika do jego zeskanowania; może na przykład stwierdzić, że chodzi o pobranie ważnej aplikacji lub twierdzić, że jest organem ścigania proszącym o zapłatę. Gdy ofiara zeskanuje kod QR, zostanie przekierowana na fałszywą stronę internetową lub aplikację, która poprosi o podanie danych karty kredytowej.

Jak zadbać o bezpieczeństwo kodów QR?

Quishing może brzmieć przerażająco, ale istnieją sprawdzone sposoby, które pozwalają uchronić się przed tego rodzaju atakiem. Wystarczy korzystać z kilku sprawdzonych i uniwersalnych wskazówek dotyczących bezpiecznego korzystania z sieci oraz urządzeń elektronicznych – w szczególności smartfonów.

W przypadku skanowania kodów QR w miejscach publicznych warto zaniechać tego działania i przepisać adres URL jeżeli jest to możliwe. Gdy trzeba zeskanować kod QR należy sprawdzić czy nie został on podmieniony – tj. czy na nośnik nie została naklejona naklejka z innym kodem QR.

Podwójne sprawdzenie adresu URL lub strony internetowej po zeskanowaniu to kolejny krok, który pozwala uniknąć ataku z wykorzystaniem Quishingu.

Zalecamy nie wykonywanie płatności z wykorzystaniem kodów QR oraz zachowanie szczególnej ostrożności za granicą. Oszustwa z wykorzystaniem Quishingu są szczególnie popularne w Azji i na Bliskim Wschodzie, przez co mogą skutecznie zepsuć podróż służbową lub wymarzony wyjazd wakacyjny.

Zgłoś naruszenie/Błąd