Що таке квішинг або фішинг QR-коду?

Припустімо, що ви отримали холодний електронний лист або миттєве повідомлення з інформацією про деякі платежі, здійснені на ваш рахунок, і ви збираєтеся відсканувати QR-код, доданий до нього. Лише за частку секунди ця дія може розкрити ваш банківський рахунок, паролі та особисті дані, якщо це був шкідливий QR-код.  

Квішинг — це кібератака, яка швидко розвивається, яка намагається викрасти конфіденційну інформацію користувачів за допомогою підроблених QR-кодів. Ця стратегічна атака в основному націлена на керівників і керівників компаній. Відповідно до звіт за 2024 рік Abnormal Security Corp.Керівники старших класів зазнають QR-фішингових атак у 42 рази частіше, ніж середні співробітники. Компрометація бізнес-електронної пошти (BEC), популярного методу кібератак з використанням підроблених електронних листів, зросла на колосальні 108% між 2022 і 2023 роками.

З зростаюче використання QR-кодів у повсякденному житті, кішинг стає все більш помітним. Таким чином, кожен користувач QR-коду повинен знати про зловмисну ​​діяльність або практики, пов’язані з QR-кодами, а також про запобіжні заходи проти фішингу QR-коду. 

Значення квішинга або фішингу QR-коду

«Квішинг» або фішинг QR-коду — це добре спланована спроба змусити користувачів QR-коду оманою змусити відвідати шкідливі посилання та веб-сайти. Після сканування та натискання шкідливого QR-коду користувачі потрапляють на фішинговий сайт, який веде до компрометації їх конфіденційної інформації.

Квішинг часто обходить звичайні системи безпеки, такі як шлюзи електронної пошти, оскільки системи сприймають QR-коди, прикріплені до електронного листа, як нешкідливі зображення. У результаті багато користувачів QR-кодів стають жертвами фішингу електронної пошти. 

Як працює квішинг?

Квішинг працює, коли користувачі навмисно чи ненавмисно натискають шахрайське посилання, яке з’являється під час сканування шкідливого QR-коду. Фішингові атаки в основному спрямовані на викрадення особистої та фінансової інформації, наприклад даних дебетової або кредитної картки, облікових даних для входу або особистої ідентифікаційної інформації.

Шахраї використовують конфіденційну інформацію користувачів для фінансового шахрайства, крадіжки особистих даних, несанкціонованого доступу до облікового запису або програм-вимагачів. Вони часто використовують шкідливі QR-коди через друковані листівки та плакати, електронну пошту та соціальні мережі. 

Після сканування QR-коду користувачі потрапляють на фальшивий веб-сайт або посилання. Жертвам часто пропонують ввести конфіденційну інформацію, таку як імена користувачів, електронні адреси, дата народження, банківські реквізити та паролі для входу в обліковий запис.

Основна статистика QR-фішингу, на яку варто звернути увагу

• Команда стрімке зростання використання смартфонів для сканування QR-кодів є вирішальною причиною зростання темпів кішингу. Statista сказав майже 89 мільйонів американців сканували QR-код за допомогою своїх смартфонів у 2022 році. У 100 році ця цифра може досягти 2025 мільйонів користувачів.  
• У Китаї стільки ж 10 мільярдів мобільних пристроїв використовували для платежів за допомогою QR-коду В 2022. 
• Згідно зі звітом, загальна кількість У 4.88 році кількість користувачів смартфонів у всьому світі перевищила 2024 мільярда, що становить 60.42% населення світу.

Фішинг QR-кодів також значно збільшився. Давайте подивимося деякі дані:

• Відповідно до звіту Check Point Software Technologies, Шахрайство UPI з фішингом QR-коду в Індії зросла більш ніж удвічі з 15,000 2022 випадків у 30,000 році до понад 2023 XNUMX випадків у XNUMX році. 
• Щодня надсилається понад 3 мільярди фішингових листів.
• Щодня Gmail блокує понад 100 мільйонів спроб фішингу. 
• Як пояснив Пимнц, на QR-коди припадає понад 20% усіх онлайн-шахраїв.
• За оцінкою IBM, середня глобальна вартість витоку даних у 2024 році становитиме 4.88 мільйона доларів США — це на 10% більше, ніж минулого року, і це найвищий показник за всю історію.
• Відповідно до Опитування порушень кібербезпеки 2024 Згідно з GOV.UK, фішинг залишається найпоширенішим типом порушення кібербезпеки та атак, націленими на 84% підприємств і 83% благодійних організацій у Великобританії.

Як захиститися від QR-фішингових атак?

Ось ключові поради щодо захисту вашої особистої інформації та запобігання фішингу QR-коду. 

✅ Ніколи не використовуйте небажані QR-коди: Уникайте сканування QR-коду, прикріпленого до електронних листів або публікацій у соціальних мережах, якщо ви не знаєте відправника. Не скануйте QR-коди навмання в громадських місцях. Будьте обережні з QR-кодами, які надсилаються електронною поштою чи в соціальних мережах, особливо якщо ви їх не запитували.

✅ Перевірте джерело перед скануванням: Підтвердьте автентичність QR-коду перед скануванням, навіть якщо ви думаєте, що знаєте джерело. Ви можете перевірити ім’я відправника, здійснивши пошук в Інтернеті або зв’язавшись безпосередньо з компанією перед скануванням.

✅ Повторно перевірте URL-адресу QR-коду: Зачекайте деякий час, перш ніж натиснути URL-адресу, яка з’явиться після сканування QR-коду. Ще раз перевірте URL-адресу QR-коду, щоб перевірити, чи відповідає вона компанії, яку ви знаєте, або веб-сайту, який ви збираєтеся відвідати. Не натискайте підозрілі URL-адреси.  

✅ Сигнали виявлення фішингу: Порівняйте QR-код, який ви отримуєте в електронних листах, зі збереженим у вашому обліковому записі Google Wallet або UPI. Ви можете побачити відмінності, наприклад графічні помилки та розбіжності адрес електронної пошти. Уникайте сканування QR-коду, який створює відчуття терміновості дії, або повідомлення з поганою граматикою.  

✅ Зверніть увагу на інформацію, надану в Інтернеті: Не приймайте електронні листи чи текстові повідомлення від невідомих відправників із запитом вашої особистої та фінансової інформації. Ви повинні бути на 100% впевнені, що сканувати QR-код безпечно, перш ніж надавати конфіденційну інформацію, таку як контактний номер, дата народження, облікові дані для входу, дані кредитної картки тощо. 

Підприємства можуть вжити додаткових заходів, щоб запобігти погашенню:

☑️ Реалізація двофакторної автентифікації: Фішинг електронної пошти є найпоширенішою бізнес-загрозою. Використовуючи двофакторну або багатофакторна аутентифікація не дозволить зловмисникам зламати корпоративну електронну пошту (BEC). 

☑️ Оновіть програмне забезпечення та функції безпеки: Оновіть програмне забезпечення до останньої версії, і збереження розширених функцій безпеки допоможе вам запобігти фішинговим атакам.

☑️ Навчання працівників з питань безпеки: Поширення обізнаності щодо кібербезпеки та навчання ваших співробітників безпечній роботі з QR-кодами можуть допомогти компаніям уникнути небезпек, пов’язаних із квишингом. Завдяки навчанню співробітники можуть навчитися виявляти спроби BEC і застосовувати такі практики, як підтвердження джерела QR-кодів або платіжних запитів. 

Що робити, якщо організація вже стала жертвою квішинга?

Припустімо, що ваша організація вже стала жертвою фішингу QR-коду. Ви повинні вжити наступних кроків, щоб зупинити подальше поширення шахрайства або принаймні зменшити збитки. Ось як ви повинні це зробити. 

➡️ Негайно видаліть QR-код: Негайно видаліть або замініть зловмисний QR-код із ваших існуючих фізичних і цифрових просторів, включаючи друковані плакати, меню, соціальні мережі та веб-сайти. Це допоможе запобігти подальшій ескалації фішингової атаки.

➡️ Терміново повідомте клієнтів і персонал: Повідомте клієнтів, ділових партнерів і персонал про фішингову атаку та чітко поясніть ситуацію. Встановіть належне спілкування, даючи чіткі інструкції щодо того, як впоратися з ситуацією. Своєчасна комунікація може вберегти клієнтів від фінансових втрат і крадіжки особистих даних, уберегти компанії від поганого іміджу бренду або репутації.  

➡️ Визначте джерело шахрайських QR-кодів: Проведіть ретельну оцінку джерела QR-коду та його цільового призначення. Дослідіть мотив шахрайства, визначивши, чи користувачі отримують запит на фішинговий сайт або завантажують шкідливий вміст. Своєчасне втручання та розслідування можуть захистити клієнтів і організації від подальшої шкоди. 

➡️ Повідомте про інцидент службу безпеки: Негайно повідомте відповідні органи про фішингову атаку. Наприклад, якщо у вашій організації є окрема команда безпеки, повідомте про інцидент команді, щойно ви виявите або усвідомите махінацію. Організації можуть подати скаргу до місцевого відділу боротьби з кіберзлочинністю. Органи влади можуть вжити відповідних контрзаходів, щоб інші організації не зіткнулися з таким інцидентом. 

➡️ Повідомити про вирішення проблеми: Повідомте своїх клієнтів, співробітників та інших зацікавлених сторін, щойно ваша організація вирішить проблеми. Ви можете повідомити їм про свої дії для врегулювання ситуації. Важливо відновити довіру та запевнити клієнтів у тому, що ваша організація надійна.

Висновок

Сьогодні QR-коди всюди, а також потенціал для квішинга. Користувачі QR-коду мають бути обережними під час використання QR-кодів, особливо під час сканування QR-коду, вкладеного в електронний лист, текстове повідомлення чи публікацію в соціальних мережах із незнайомих джерел. 

Компанії повинні усвідомлювати потенційну загрозу QR-кодів, які використовуються для фішингових атак. Вживання відповідних контрзаходів дозволить підприємствам захистити себе від фішингу QR-коду.

Часті питання