Ataki wykorzystujące kody QR do kradzieży danych uwierzytelniających stały się tak powszechne, że zyskały przydomek - quishing. *Źródło: Badanie konsumenckie F-Secure, czerwiec 2023, 11 krajów (Brazylia, Finlandia, Francja, Niemcy, Włochy, Japonia, Holandia, Norwegia, Szwecja, Wielka Brytania i USA), n=4400
Pierwsze kody QR zostały zaprojektowane w 1994 roku. Jednak wielu użytkowników Internetu poznało je dopiero niedawno, kiedy technologia ta została przyjęta przez wiodące aplikacje do uwierzytelniania dwuskładnikowego oraz jako bezdotykowe narzędzie cyfrowe podczas pandemii Covid-19.
Cyberprzestępcy oczywiście nigdy nie przegapią okazji. W październiku 2023 r. AT&T ostrzegła przed "quishingiem"ponieważ wyszukiwania "QR code phishing" osiągnęły rekordowy poziom.
Nieco wyjątkowe zagrożenie
Niektórzy specjaliści ds. cyberbezpieczeństwa debatują nad tym, czy ”quishing” istnieje, czy też jest to po prostu zbyt uroczy sposób opisania innej formy phishingu, jednego z najczęstszych zagrożeń, z którymi spotykają się użytkownicy.
Istnieją jednak wyjątkowe aspekty zagrożeń wynikających ze skanowania kodów, których konsumenci muszą być świadomi, wyjaśnia Joel Latto, doradca ds. zagrożeń w F-Secure.
”Kody QR mogą ominąć ochronę przed spamem łatwiej niż zwykły phishing, ponieważ sama wiadomość e-mail nie musi zawierać żadnych linków wychodzących, które mogłyby spowodować wykrycie” - powiedział. ”Mogą być również wykorzystywane do inicjowania pobierania złośliwych aplikacji lub plików, zwłaszcza na telefonach”.
Na wolności
Oszustwa związane z kodami QR są również wyjątkowe, ponieważ użytkownicy mogą się na nie natknąć zarówno w Internecie, jak i poza nim, dodał Latto, który od lat ostrzega przed niebezpieczeństwami związanymi z kodami QR “na wolności”.
W ubiegłym roku FTC ostrzegła konsumentów przed oszustwem w Teksasie, które rozpoczęło się od złośliwych kodów QR na parkometrach.
“Naprawdę jedynym ograniczeniem jest tutaj wyobraźnia przestępców” podsumował.
PORADA EKSPERTA
"Kody QR mogą obejść ochronę przed spamem łatwiej niż zwykły phishing".
Joel Latto
Doradca ds. zagrożeń
Helsinki, FInlandia