0%

A QR kódok veszélyei – a quishing támadás

“A QR-kód (Quick Response-kód) egy kétdimenziós vonalkód (tulajdonképpen pontkód), amit a japán Denso Wave cég fejlesztett ki 1994-ben. Nevét az angol Quick Response (=gyors válasz) rövidítéséből kapta, egyszerre utalva a gyors visszafejtési sebességre és a felhasználó által igényelt gyors reakcióra." olvasható a Wikipéda bevezetőjében. 

A QR-kódok beolvasása

A mobiltelefon-technológia meghatározó szerepet játszott a QR-kódok elterjedésében, lehetővé téve azok egyszerű beolvasását. Az első mobiltelefon, ami már alkalmas volt QR-kódok beolvasására és feldolgozására, 2002-ben jelent meg. A népszerűsége kezdetben csak lassan terjedt, főleg, hogy a QR-kódok beolvasásához akkoriban még külön alkalmazást kellett letölteni. Az áttörés 2017-ben következett be az új iPhone-szoftver, az iOS 11 megjelenésével. Ettől kezdve az iPhone beépített kamera alkalmazása már könnyedén kezelte a QR-kódokat, nem volt szükség többé külön alkalmazás letöltésére és telepítésére a beolvasáshoz. Napjainkban pedig már minden gyártó okostelefonjain ott a beépített QR kód olvasó.

Praktikus és egyszerű a használatuk

Az SMS-hez és főleg a hanghíváshoz képest tehát fiatal, keveset használt technológiáról van szó, ugyanakkor az elmúlt években már rohamos terjedésnek indult a QR-kódok használata is. Olyannyira, hogy a kiberbűnözők is egyre több támadási módszert dolgoztak ki rá, amiket persze előszeretettel használnak is arra, hogy érzékeny adatokat szerezzenek meg. Ez utóbbit, vagyis

a QR-kódok adathalászatra való felhasználását hívjuk quishing támadásnak,
vagyis QR-kód phishingnek.

A nagy robbanást a Covid-19 világjárvány időszaka hozta meg a QR-kódok számára is. 2020 februárjában, amikor a világjárvány kezdett gyorsulni, számos vállalkozás, orvos, kórház és más szervezet is áttért a érintésmentes információátadásra. Az éttermek például QR-kódokat alkalmaztak menük helyett, míg a kórházak és rendelők QR-kódok segítségével nyomon követték a látogatókat és regisztrálták a látogatásokat. A QR-kódok praktikus és egyszerű használatuk révén kiváló eszközzé váltak mindenki számára.

És ahogy az lenni szokott, a QR-kódok felhasználásának berobbánása magával hozta a kapcsolódó támadásokét is, vagyis a quishing-et.

2023 augusztusától szeptemberéig 587%-kal emelkedett a quishing támadások száma a CheckPoint kiberbiztonsági cég adatai alapján.

A QR-kódok elterjedt eszközzé váltak számunkra

Hogyan zajlik a quishing támadás?

A quishing támadások viszonylag nagy arányú sikeressége jelenleg két dolognak köszönhető: az emberek többségének még nem nagyon jut eszébe, hogy egy QR-kód adatlopásra is felhasználható, ezért elővigyázatlanul beolvassa szinte bárhonnan, a másik tényező a támadások sikerességében a mobiltelefon (ezt használják a leginkább a QR-kód leolvasásához), aminek a védelme még mindig jóval kevésbé megoldott, mint a "hagyományos" számítógépeké.

A quishing támadások menete általában a következő:

  • Megtévesztő QR-kódok elhelyezése: A támadók hamis QR-kódokat helyeznek el nyilvános helyeken, például plakátokon, reklámokon vagy üzenetekben.
  • Felhasználói interakció: Az áldozatok leolvassák a hamis QR-kódot, jellemzően az okostelefonjuk segítségével.
  • Csaló oldalra való átirányítás és adatszerzés: A QR-kódban elhelyezett URL segítségével az áldozatokat egy hamis weboldalra irányítják, ahol érzékeny adatokat, például bejelentkezési vagy pénzügyi adatokat próbálnak megszerezni.

Megtörtént incidenseken alapuló példák quishing támadásokra

  • Hamis WiFi-kapcsolat a repülőtéren: Támadók hamis QR-kódokat helyeztek el a repülőtéren, ingyenes WiFi-t ígérve. A kódok valójában hamis bejelentkező oldalra vezettek, ahol további bejelentkezési adatokat kértek.
  • Banki értesítés SMS-ben: Hamis banki értesítések tartalmaztak QR-kódokat, melyek egy malware-t terjesztő alkalmazás letöltőoldalára irányítottak.
  • Fizetős parkolás aktiválása QR-kód beolvasásával: A hamis QR-kód egy olyan oldalra irányított, ami a fizetéshez bankkártya adatokat kért.
  • Szállodai kuponok: "Szállodák" hamis QR-kódokat használtak, ingyenes éjszakákat ígérve, de az oldal, ami a QR-kód beolvasása után betöltődött, érzékeny adatokat gyűjtött.
  • Rejtélyes csomagküldemény értesítés: Áldozatok értesítéseket kaptak rejtélyes csomagokról QR-kódokkal, amik szintén adathalász weboldalakra vezettek tovább.

Legyünk óvatosak a QR-kód beolvasása előtt, győződjünk meg a közzétevő hitelességéről

Megelőzés és védekezés

  • Ne olvassunk be ismeretlen forrásból származó QR-kódot. A beolvasás előtt mindig győződjünk meg a QR-kódot közzétevő hitelességéről.
  • A hitelesség megerősítése többféle csatornán: Még akkor is, ha megbízható forrásból kapunk QR-kódot, erősítsük meg annak valódiságát más kommunikációs csatornán keresztül is, például szöveges üzenetben vagy telefonhíváson keresztül.
  • Figyeljünk a phishing támadásokra jellemző tulajdonságokra, például sürgős, azonnali intézkedést igénylő szituáció, gyanúsan nagy akciókkal kecsegtető ajánlatok.
  • A QR-kód URL-előnézetének ellenőrzése: Mielőtt beolvasnánk a QR-kódot, nézzük meg annak URL-előnézetét és próbáljuk meg abból eldönteni, hogy az oldal megbízható-e. A legtöbb esetben a weboldal domain neve (pl. weboldal.hu) alapján már könnyen lebuktatható a csalás.
  • Ne adjunk meg érzékeny információkat, például bejelentkezési vagy fizetési adatokat, amennyiben egy QR-kód ilyen adatokat kérő oldalra vezet.
  • Használjunk vírusvédelmi szoftvereket a mobiltelefonon is, alkalmazásokat csak megbízható forrásból töltsünk le és rendszeresen frissítsük a már feltelepített alkalmazásainkat.

Ez is érdekelheti