QR kodų sukčiavimas (quishing): kaip atpažinti
Quishing (QR + phishing) — tai sukčiavimas per QR kodus: nuskenavus kodą, žmogus nukreipiamas į netikrą puslapį, prašantį prisijungimo, mokėjimo ar siūlantį kenkėjišką failą. Apsauga paprasta — QR kodą traktuokite kaip paslėptą nuorodą: prieš atidarydami patikrinkite adresą, o svarbias paslaugas atsidarykite programėle patys.
Quishing (QR + phishing) — tai sukčiavimas, kai vietoj nuorodos naudojamas QR kodas. Nuskenavus kodą telefonu, žmogus nukreipiamas į netikrą puslapį, kuris prašo prisijungimo duomenų, mokėjimo ar siūlo atsisiųsti kenkėjišką programą. Ši forma populiarėja, nes QR kodai tapo įprasti — meniu, mokėjimuose, bilietuose — ir jais pasitikima be didesnių abejonių.
Kodėl QR kodai patogūs sukčiams
- checkAdresas paslėptas: iš kodo neįmanoma iš akies pasakyti, kur jis veda.
- checkSkenuojama telefonu: mobiliajame ekrane sunkiau pamatyti tikrąjį domeną, o apsauga dažnai silpnesnė nei kompiuteryje.
- checkFizinis pasitikėjimas: kodas ant popieriaus ar plakato atrodo oficialesnis nei laiškas.
- checkApeina filtrus: QR kodas laiške dažnai yra paveikslėlis, todėl el. pašto apsauga nuorodos nepatikrina.
Kur pasitaiko kenkėjiški QR kodai
- checkEl. laiške su „sąskaita" ar „pristatymo patvirtinimu", kur vietoj mygtuko įdėtas QR kodas.
- checkAnt fizinių lipdukų, užklijuotų virš tikro kodo — stovėjimo aikštelėse, ant terminalų ar plakatų.
- checkNetikruose mokėjimo prašymuose, imituojančiuose banką ar įstaigą.
- checkReklaminiuose lankstinukuose ar „laimėjimo" pranešimuose.
Kaip atpažinti quishing
Kadangi paties kodo peržiūrėti negalima, dėmesys tenka kontekstui ir tam, kas atsitinka nuskenavus.
- checkNetikėtas QR kodas laiške vietoje įprastos nuorodos ar teksto.
- checkNuskenavus atsiveria puslapis, prašantis prisijungimo duomenų ar mokėjimo.
- checkAdresas naršyklėje neatitinka įmonės, kurios kodą neva skenuojate.
- checkQR kodo lipdukas atrodo užklijuotas ant kito, originalaus kodo.
- checkSkubos ar grasinimo tonas šalia kodo („skenuokite dabar, kitaip...").
Ką daryti ir kaip apsisaugoti
- checkPrieš skenuodami įvertinkite, ar kodas patikimoje vietoje ir ar apskritai jo tikitės.
- checkNuskenavę pažiūrėkite adresą prieš paspausdami „atidaryti" — daug telefonų parodo nuorodą.
- checkNesuvedinėkite prisijungimo ar kortelės duomenų per QR kodu atidarytą puslapį.
- checkSvarbias paslaugas (banką, paštą) atsidarykite programėle ar rankiniu būdu, ne per QR.
- checkFizinėse vietose patikrinkite, ar kodas nėra užklijuotas lipdukas ant kito kodo.
Kaip paruošti komandą
Daugelis darbuotojų dar nežino, kad QR kodas gali būti ataka — tai reiškia, kad tai lengvas taikinys. Trumpas priminimas ir praktinės simuliacijos, apimančios QR scenarijus, greitai pakelia budrumą. Opsinel simuliacijos apima ne tik el. paštą ir SMS, bet ir QR kodus, todėl komanda mokosi atpažinti sukčiavimą visuose kanaluose, kuriuose jis realiai vyksta.
Dažni klausimai
Ar pavojinga vien nuskenuoti QR kodą?add
Pats nuskenavimas paprastai tik parodo nuorodą. Rizika kyla ją atidarius ir suvedus duomenis ar atsisiuntus failą. Todėl visada patikrinkite adresą prieš tęsdami.
Kaip pamatyti, kur veda QR kodas?add
Daugumoje telefonų nuskenavus kodą pirmiausia parodoma nuoroda ar domenas. Perskaitykite jį prieš paspausdami — jei adresas nepažįstamas ar keistas, neatidarykite.
Ar el. pašto filtrai sustabdo kenkėjiškus QR kodus?add
Dažnai ne, nes QR kodas laiške yra paveikslėlis ir nuoroda jame nepatikrinama. Todėl svarbu, kad darbuotojai patys atpažintų įtartiną QR kodą.
Kas yra quishing?add
Quishing yra sukčiavimas per QR kodus — pavadinimas sudarytas iš „QR" ir „phishing". Vietoj nuorodos laiške ar ant lipduko naudojamas kodas, nukreipiantis į netikrą puslapį.
Ar saugu skenuoti QR kodą restorane ar ant plakato?add
Dažniausiai taip, bet patikrinkite, ar kodas nėra užklijuotas lipdukas ant kito kodo, ir prieš atidarydami pažiūrėkite, koks adresas rodomas. Duomenų per jį nesuvedinėkite.