Egyre szélesebb körben terjed az adathalászat egy kevéssé ismert formája, a quishing, amikor a csalok hamis QR-kódokat használnak érzékeny adatok megszerzésére vagy rosszindulatú programok telepítésére. Egy kutatás szerint az adathalász támadások bő negyede már ezen a csatornán történik az Egyesült Államokban, miközben a felhasználok háromnegyede nem ellenőrzi a kódokat a beolvasás előtt.
A QR-kódok használata nem is olyan rég még újdonságnak számított. Egy kiállításon a kódot a telefonnal beolvasva megismerhettük például a gyapjas mamut étkezési szokásait vagy Dzsingisz kán katonai stratégiájáról tudtunk meg információkat. A világjárvány alatt gyorsan elterjedt a megoldás.
Terjed a quishing
A QR-kódok egyre gyakoribb jelenlétét kihasználják azonban a hackerek is. Ez a csalási típus a „quishing”.
Mint sok más, jó szándékkal induló technológiai újítás, a QR-kódok is egyre inkább a rosszindulatú felhasználás célpontjaivá váltak. Mivel mindenhol jelen vannak – a benzinkutaktól, az utcai hirdetőoszlopon át a televíziós reklámokig –, egyszerre hasznosak és veszélyesek.
– mondta Dustin Brewer, a BlueVoyant proaktív kiberbiztonsági szolgáltatásokért felelős igazgatója a CNBC-nek. Brewer szerint a támadók ezeket a látszólag ártalmatlan szimbólumokat használják ki arra, hogy rávegyék az embereket rosszindulatú webhelyek meglátogatására, vagy személyes adataik megosztására, tudtukon kívül.
Sorra jönnek a figyelmeztetések
A QR-kóddal kapcsolatos csalások egyre növekvő előfordulása miatt az amerikai szövetségi kereskedelmi bizottság (a Federal Trade Commission, FTC) is figyelmeztette már az idén a fogyasztókat. Az áldozatok kéretlen vagy váratlan csomagokról kaptak értesítést, amikor azonban a QR-kódot beolvasták az egy adathalász webhelyre vezetett, ahol megszerezték a személyes adataikat (hitelkártyaszámokat, felhasználóneveket és jelszavakat). Hasonló figyelmeztetést tett közzé az idén New York közlekedési cég, de más vállalatok, köztük például a Hawaii Electric is.
Egyszerű – működik
A kiberbűnözők számára a vonzerő a csalás működésének relatív könnyedségében rejlik: egy hamis QR-kód matricát ragasztanak egy parkolóórára vagy egy közüzemi számlafizetési figyelmeztetésre, és az ügy intézésének sürgősségre hivatkoznak. Utóbbi más adathalász megoldásoknál is jellemzően jól működik.
A QR-kódos csalások ugyanakkor veszélyesebbek, mint egy hagyományos adathalász e-mail, mivel a felhasználók általában nem tudják elolvasni vagy ellenőrizni a kódolt címet. Bár a QR-kódok általában tartalmaznak ember által olvasható szöveget is, a támadók úgy módosíthatják azt, hogy megtévesszék a felhasználókat, és elhitessék velük, hogy megbízhatnak a linkben és a webhelyben, amelyre mutat.
Aggasztó az is, hogy a valódi szórólapok, plakátok, hirdetőtáblák vagy hivatalos dokumentumok is könnyen veszélybe kerülhetnek. A támadók ugyanis egyszerűen kinyomtathatják saját QR-kódjukat, és fizikailag vagy digitálisan beilleszthetik egy valódi kód fölé, így az átlagfelhasználó számára szinte lehetetlenné válik a megtévesztés észlelése.
A többség ellenőrzés nélkül olvassa be a QR-kódokat
Ahogy azt a hírportálnak nyilatkozva Rob Lee, a kiberbiztonsági képzésekre szakosodott SANS Intézet mesterséges intelligenciával és újonnan felmerülő fenyegetésekkel foglalkozó kutatási vezetője kiemelte:
A QR-kódokat nem a biztonság szem előtt tartásával tervezték, hanem az élet megkönnyítésére, ami tökéletessé teszi azokat a csalásra. A forgatókönyv azonos az adathalász e-maileknél ismertekkel, a különbség csak annyi, hogy egy pixeles négyzettel érkezik. Ennek kihasználásához sem kell komolyabb felkészültség, de magas megtérülést biztosító taktika, amit a támadók szeretnek skálázni.
A KeepNet Labs kiberbiztonsági platform idei tanulmánya szerint ugyanakkor az összes rosszindulatú link 26 százaléka ma már QR-kódon keresztül érkezik.
A NordVPN kiberbiztonsági cég felmérése pedig arra is rámutatott, hogy az amerikaiak 73 százaléka ellenőrzés nélkül olvassa be a QR-kódokat, és több mint 26 millióan vannak már, akik rosszindulatú webhelyekre kerültek át ennek nyomán.
Sérthetőbbek az Apple felhasználói
A Malwarebytes idei felmérése arra is rávilágított, hogy – bár a QR-kóddal kapcsolatos csalások valószínűleg mind az Apple, mind az Android eszközöket érintik, de – az iPhone-felhasználók valamivel nagyobb valószínűséggel esnek áldozatul az ilyen bűncselekménynek.
Az iPhone-felhasználók ugyanis jobban bíznak eszközeik biztonságában, mint az Android operációs rendszert használók. Az iPhone-t tulajdonosok 70, az Android-os telefonnal rendelkezők 63 százaléka olvas be egy QR-kódot a vásárláskor. Az előbbi körbe tartozók 55 százaléka bízik eszközében, míg az utóbbiaknak az 50 százalékára igaz ez.
Nem új, csak kevéssé ismert
Az adathalász megoldás nem új, de most került a figyelem középpontjába. A Cofense kiberbiztonsági cég már 2023-ban fényt derítettek egy nagyszabású adathalász akcióra, ahol QR-kódokat használtak a támadásokban. A hackerek által célba vett szervezetek egyike egy neves amerikai energiavállalat volt, de az érintettek között szerepeltek gyártó és technológiai cégek, illetve biztosításokkal valamint pénzügyi szolgáltatásokkal foglalkozó szervezetek is.
Védekezni! Hogyan?
Érdemes tehát a QR-kódok használata során is körültekintően eljárni. A legjobb védekezés a nem kívánt vagy váratlan QR-kódok beolvasásának elkerülése, illetve csak olyan QR-kódok használata, ahol megjelenik az URL, és ellenőrizhető annak hitelessége.
(Forrás: CNBC)
