Quishing

Quishing – metoda oszustwa internetowego (forma phishingu[1]), polegająca na przekazaniu ofierze oszustwa do zeskanowania odpowiednio spreparowanego kodu QR[2].

Przygotowanie ataku

Zniszczony kod QR w przestrzeni publicznej

Oszuści mogą znaleźć ofiarę korzystając z komunikatorów lub mediów społecznościowych i za ich pośrednictwem wysyłać jej spreparowany kod QR[3], możliwe jest także przekazanie kodu QR w inny sposób – na przykład na ulotce wręczonej na ulicy bądź poprzez umieszczenie kodu w miejscu publicznym[1] (w 2023 roku złapano na przykład oszustów rozklejających fałszywe kody QR na krakowskich parkomatach[4]).

Aby dodatkowo zachęcić ofiarę do zeskanowania kodu, stosuje się różne techniki manipulacyjne – na przykład: opisuje się go jako prowadzący do odbioru nagrody, dokonania płatności mobilnej[2], obiecuje się oszczędność czasu i ułatwienie życie lub straszy promocją ograniczoną czasowo[1].

Metody quishingu

Kiedy ofiara zeskanuje przekazany przez hakera kod QR, zostaje przekierowana pod przygotowany przez niego adres – na przykład:

  • podobnie jak w przypadku tradycyjnych ataków phishingowych – strony internetowej do złudzenia przypominającej stronę banku lub innej wiarygodnej instytucji, wymagającej zalogowania – po podaniu danych logowania, są one przechwytywane przez atakującego[1][2];
  • strony umożliwiające dokonanie płatności – rzekomo pożądanej przez użytkownika (np. opłaty parkingowej),
  • strony pobierania złośliwego oprogramowania[2];
  • link uwierzytelniający logowanie na urządzeniu oszusta na konto użytkownika w danej aplikacji. Opisano przejmowanie w ten sposób dostępu do aplikacji Wiadomości od Google – działanie to umożliwia oszustowi czytanie wiadomości SMS ofiary, dostęp do listy kontaktów z urządzenia, wysyłkę SMS-ów w imieniu ofiary (także dodatkowo płatnych)[3].

Zapobieganie i obrona przed atakami quishingowymi

Skanowanie kodu QR za pomocą aplikacji informującej pod jaki adres URL prowadzi zeskanowany kod

Jako główne metody ochrony przed atakami quishingowymi wskazuje się:

  • weryfikację wiarygodności kodu QR i powiązanego z nim opisu (np. na plakacie czy ulotce),
  • weryfikację autentyczności strony, na którą trafiło się po zeskanowaniu kodu[2],
  • zachowanie szczególnej ostrożności w przypadku kodów QR z dołączoną wiadomością wzbudzającą szczególne emocje,
  • wyłączenie niezaufanym aplikacjom dostępu do kamery w urządzeniu mobilnym (w celu uniknięcia niezamierzonego zeskanowania kodu),
  • wykorzystywanie wyłącznie oficjalnych aplikacji do płatności w miejscach publicznych[1].

Każdy fakt padnięcia ofiarą podobnego oszustwa należy zgłosić policji[3].

Przypisy

  1. a b c d e Otwierasz kody QR z nieznanego źródła? Takie zachowanie może Cię drogo kosztować! [online] [dostęp 2024-03-26] [zarchiwizowane z adresu 2024-03-19].
  2. a b c d e Quishing – oszustwo z wykorzystaniem kodów QR [online] [dostęp 2024-03-26] [zarchiwizowane z adresu 2024-03-19].
  3. a b c Oszustwa z wykorzystaniem kodów QR [online], CERT Polska [dostęp 2024-03-26] [zarchiwizowane z adresu 2024-03-26].
  4. Fałszywe kody QR na krakowskich parkomatach. Oszuści w rękach policji [online], Wyborcza.pl, 18 lipca 2023 [dostęp 2024-03-26] [zarchiwizowane z adresu 2024-03-26].

Content Disclaimer

Informasi ini disarikan dari Wikipedia dan disajikan kembali untuk tujuan edukasi. Konten tersedia di bawah lisensi CC BY-SA 3.0. Kami tidak bertanggung jawab atas ketidakakuratan data yang bersumber dari kontribusi publik tersebut.

  1. The information displayed on this website is sourced in part or in whole from Wikipedia and has been adapted for the purpose of restating it. We strive to provide accurate and relevant information, however:
  2. There is no guarantee of absolute accuracy. Wikipedia is an open, collaborative project that can be edited by anyone, so information is subject to change.
  3. It is not intended to constitute professional advice. The content displayed is for informational and educational purposes only. For important decisions (e.g., medical, legal, or financial), please consult a professional.
  4. Content copyright. Wikipedia is licensed under the Creative Commons Attribution-ShareAlike License (CC BY-SA). This means that content may be reused with appropriate attribution and shared under a similar license.
  5. Responsible use. Any risk arising from the use of information from this website is entirely the responsibility of the user.
Kembali kehalaman sebelumnya