A quishing a támadók megtévesztő QR-kódokat vetnek be annak érdekében, hogy érzékeny adatokat szerezzenek meg vagy rosszindulatú programokat juttassanak a felhasználók eszközeire. Egy friss kutatás szerint az adathalász incidensek több mint egynegyede már ilyen módon történik, miközben a felhasználók túlnyomó többsége – háromnegyedük – nem ellenőrzi a kódokat, mielőtt beolvasná őket.
A QR-kód, ami mára hétköznapivá vált
Egykor még különleges technológiának számított, ma viszont már mindenütt ott van: kiállításokon, plakátokon, reklámokon, éttermekben vagy épp a közlekedési tájékoztatásban. A QR-kód a világjárvány idején vált igazán általánossá – most azonban a csalók is felfigyeltek a benne rejlő lehetőségekre.
A quishing térnyerése
A QR-kódok egyre nagyobb jelenléte egy új támadási felületet kínál a kiberbűnözőknek. A „quishing” néven ismert módszer lényege, hogy a támadók hamis QR-kódokat helyeznek el – akár nyilvános helyeken, akár digitális felületeken – azzal a céllal, hogy a gyanútlan felhasználók egy ártalmas weboldalra navigáljanak, vagy megadják személyes adataikat.
Ahogy Dustin Brewer, a BlueVoyant kiberbiztonsági igazgatója fogalmazott: ezek a kódok ártalmatlannak tűnnek, de a támadók éppen ezt a látszatot használják ki, hogy bizalmat ébresszenek.
Egyre több a figyelmeztetés
Az amerikai Szövetségi Kereskedelmi Bizottság (FTC) már hivatalos figyelmeztetést is kiadott a QR-kóddal kapcsolatos visszaélések kapcsán. Az áldozatok gyakran kéretlen csomagértesítéseket kaptak, melyek QR-kódja egy hamis webhelyre vezette őket, ahol a csalók hozzáfértek a bankkártya- vagy bejelentkezési adataikhoz. Hasonló figyelmeztetést adott ki többek között New York állam közlekedési vállalata és a Hawaii Electric is.
Miért vonzó ez a módszer?
A quishing népszerűségének oka, hogy kivitelezése rendkívül egyszerű. A támadók csupán annyit tesznek, hogy egy hamis QR-kódot ragasztanak például egy parkolóórára vagy egy hivatalos számlára, és sürgető szöveggel veszik rá az embereket a kód beolvasására.
A módszer hatékonyságát az is növeli, hogy a QR-kód mögött rejlő linkeket a felhasználók többnyire nem tudják ellenőrizni, hiszen a kód tartalma rejtve marad. Bár olykor olvasható szöveg is szerepel a kód mellett, azt a támadók könnyen módosíthatják, hogy megbízhatónak tűnjön.
Manipulált felületek – észrevétlen csalások
A legaggasztóbb, hogy még a hivatalos anyagok – például szórólapok, plakátok vagy űrlapok – sem mentesek a veszélytől. A támadók akár fizikailag, akár digitálisan képesek felülírni a valódi QR-kódokat saját, hamis verziójukkal, így az átlagfelhasználó számára gyakorlatilag észrevehetetlenné válik a manipuláció.
A felhasználók túlnyomó többsége nem ellenőriz
Rob Lee, a SANS Intézet kiberbiztonsági kutatója kiemelte: a QR-kódok nem a biztonságot, hanem a kényelmet helyezik előtérbe, így kiváló eszközei a megtévesztésnek. A forgatókönyv azonos az e-mailes adathalászatnál megszokottal, csupán a forma tér el: most pixeles kódba rejtik a csapdát.
A KeepNet Labs idei adatai szerint a rosszindulatú hivatkozások 26%-a már QR-kódon keresztül érkezik. A NordVPN pedig arra mutatott rá, hogy az amerikai felhasználók 73%-a úgy olvas be QR-kódot, hogy előtte nem ellenőrzi azt – ennek eredményeként több mint 26 millióan kerültek már át káros webhelyekre.
iPhone-tulajdonosok: nagyobb bizalom, nagyobb veszély
A Malwarebytes kutatása szerint az Apple-felhasználók nagyobb arányban esnek áldozatul a QR-kódos csalásoknak, mivel jobban bíznak eszközeik biztonságában. Az iPhone-tulajdonosok 70%-a olvas be QR-kódot vásárláskor, és 55%-uk teljes mértékben megbízik a készülékében – szemben az Android-felhasználók 63, illetve 50%-os arányával.
Nem új jelenség – csak most kezdjük felismerni
A quishing nem friss fejlemény, de napjainkban került igazán reflektorfénybe. A Cofense már 2023-ban dokumentált egy jelentős támadási hullámot, ahol QR-kódokat használtak célzott adathalász akciókhoz. A támadók akkor többek között energetikai, technológiai és pénzügyi szolgáltatókat is megcéloztak.
Mit tehetünk a védelem érdekében?
A legfontosabb óvintézkedés, hogy ne olvassunk be váratlan vagy gyanús QR-kódokat – főleg akkor, ha azok nem megbízható forrásból származnak. Mindig ellenőrizzük, hogy megjelenik-e a kód mögött rejlő URL, és csak akkor kövessük a linket, ha az hitelesnek tűnik. A tudatosság és az óvatosság kulcsfontosságú a védekezésben ebben a digitálisan egyre kockázatosabb környezetben.
(Forrás: fintech.hu)
(Borítókép: Depositphotos)
Szólj hozzá