Последнее обновление 25.02.2024 — Иван Катанаев
Быстрые ссылки
- Что такое Квишинг?
- Как Квишинг может стоить вам тысячи?
- 3 примера подавления атак
- Как проверить, безопасен ли QR-код
Ключевые выводы
- Квишинг предполагает, что мошенники используют поддельные QR-коды, чтобы обманом заставить людей выдать личную и платежную информацию.
- Мошенники нацелены на места, где QR-коды используются для платежей, создавая копии веб-сайтов для кражи информации жертвы.
- Чтобы защитить себя от блокирующих атак, проверяйте QR-коды на предмет подделки, проверяйте URL-адреса после сканирования и в случае подозрений используйте альтернативные способы оплаты.
Сканируете ли вы QR-коды в общественных местах? Они очень удобны для открытия ссылок и совершения платежей, но они также несут свою долю рисков. Вот как сканирование QR-кода может стоить вам тысячи и как этого избежать.
Что такое Квишинг?
Квишинг — это сочетание слов «QR» и «фишинг».
Квишинг — это когда мошенник совершает фишинговый акт с помощью QR-кода, который активируется при его сканировании. Ранее мы уже рассказывали, что такое кишинг и как его обнаружить, но число жертв этой опасной формы фишинга значительно возросло во всем мире.
Как Квишинг может стоить вам тысячи?
Квишинг опасен, поскольку большинство не воспринимают сканирование QR-кодов всерьез. Таким образом, мы с большей вероятностью будем следовать инструкциям QR-кода, перейдя по любому URL-адресу или услуге, на которую ссылается QR-код. Снижение чувства безопасности позволяет мошенникам атаковать места, где люди используют QR-код для оплаты. Мошенник изучает веб-сайт, на который ссылается QR-код, создает копию, а затем заменяет законный QR-код, чтобы он указывал на свой клонированный веб-сайт.
Когда жертва сканирует поддельный QR-код, она попадает на поддельный веб-сайт, полагая, что посещает законный веб-сайт. Поддельный веб-сайт запрашивает личные данные, включая информацию о платеже. Как только мошенники заполучат их, они смогут совершать покупки, используя банковский счет жертвы.
3 примера подавления атак
Украденные тысячи долларов в результате сканирования плохого QR-кода звучат как научная фантастика, но это вполне реальность. Вот некоторые из наиболее распространенных векторов атак, которые используют квишеры.
1. Атаки на парковочные счетчики и точки зарядки
Некоторые паркоматы и пункты зарядки используют QR-коды в процессе оплаты. Чтобы оплатить комиссию, вы сканируете код, который направляет вас на платежный сайт или в приложение для загрузки.
Мошенники крадут эти QR-коды, наклеивая их вредоносную версию поверх оригинала. Когда кто-то идет платить за парковку или электричество, он сканирует приложение, вводит свои платежные данные на поддельный веб-сайт или в приложение и по незнанию отправляет их мошенникам.
Может показаться нереальным, что люди могут потерять тысячи людей в результате такого мошенничества, но такое уже случалось. Как сообщает ITV, один человек потерял 13 000 фунтов стерлингов (16 500 долларов США) после сканирования неверного QR-кода на парковочном автомате.
2. Атаки с использованием QR-кода по электронной почте
Иногда мошенники отправляют электронное письмо с прикрепленным QR-кодом. Мошенник убедит вас отсканировать его; например, они могут заявить, что это загрузка важного приложения, или заявить, что правоохранительные органы требуют оплаты. Когда жертва сканирует QR-код, она попадает на поддельный веб-сайт или приложение, которое запрашивает данные ее кредитной карты.
HP Threat Research сообщила, что в 2022 году в Китае произошел всплеск этого метода атак, когда в электронном письме утверждалось, что получатель имеет право на правительственный грант. В процессе у пользователей запрашивалась полная информация о кредитной карте, включая сведения об их текущем балансе.
3. Генераторы поддельных QR-кодов
В некоторых случаях мошенник устанавливает фальшивый генератор QR-кода, чтобы обмануть людей. Обычно это происходит, когда люди могут использовать QR-коды для запроса платежей, поскольку мошенники могут проникнуть в их учетные записи вместо оригинальных генераторов.
BitDefender сообщил о примере, когда несколько веб-сайтов установили генераторы поддельных QR-кодов для биткойн-кошельков. Веб-сайт запросил у пользователя идентификатор кошелька и пообещал сгенерировать QR-код, который получатели платежей могли бы легко отсканировать и использовать, когда на самом деле код указывал на собственный биткойн-кошелек мошенника.
Как проверить, безопасен ли QR-код
Кишинг звучит пугающе, но вы можете остановить мошенников до того, как они получат доступ к вашей финансовой информации, с помощью нескольких простых советов по безопасности.
Проверьте, не был ли подделан QR-код
Если вы сканируете QR-код публично, убедитесь, что код не был изменен. Ищите признаки того, что кто-то наклеил наклейку на исходный QR-код; если это так, не сканируйте QR-код.
Аналогичным образом, если вы создаете QR-код для получения платежей, обязательно отсканируйте QR-код самостоятельно и дважды проверьте, будут ли платежи идти туда, куда вы предполагаете.
Дважды проверьте URL-адрес или веб-сайт после сканирования.
После сканирования QR-кода всегда дважды проверяйте URL-адрес или веб-сайт, который появляется. Веб-сайт мошенника будет иметь странный URL-адрес, или веб-сайт будет «неправильным». Выполните следующие действия, чтобы проверить безопасность веб-сайта. Если что-то выглядит подозрительно, не вводите на веб-сайт платежную информацию.
Ищите альтернативные способы оплаты
Если QR-код выглядит подозрительно или вы не хотите рисковать, поищите другой способ оплаты. Например, если QR-код утверждает, что приведет вас к приложению, вместо этого найдите его вручную в магазине приложений вашего телефона. Если получатель разрешает альтернативные способы оплаты, используйте их или спросите о них у сотрудника.
Атаки подавления могут стоить вам дорого, но лучшая защита от них — знать, как они работают и на что следует обращать внимание. Если QR-код приведет вас в подозрительное место, не вводите платежную информацию.