Quishing

Quishing – metoda oszustwa internetowego (forma phishingu^[1]), polegająca na przekazaniu ofierze oszustwa do zeskanowania odpowiednio spreparowanego kodu QR^[2].

Przygotowanie ataku[edytuj | edytuj kod]

Oszuści mogą znaleźć ofiarę korzystając z komunikatorów lub mediów społecznościowych i za ich pośrednictwem wysyłać jej spreparowany kod QR^[3], możliwe jest także przekazanie kodu QR w inny sposób – na przykład na ulotce wręczonej na ulicy bądź poprzez umieszczenie kodu w miejscu publicznym^[1] (w 2023 roku złapano na przykład oszustów rozklejających fałszywe kody QR na krakowskich parkomatach^[4]).

Aby dodatkowo zachęcić ofiarę do zeskanowania kodu, stosuje się różne techniki manipulacyjne – na przykład: opisuje się go jako prowadzący do odbioru nagrody, dokonania płatności mobilnej^[2], obiecuje się oszczędność czasu i ułatwienie życie lub straszy promocją ograniczoną czasowo^[1].

Metody quishingu[edytuj | edytuj kod]

Kiedy ofiara zeskanuje przekazany przez hakera kod QR, zostaje przekierowana pod przygotowany przez niego adres – na przykład:

podobnie jak w przypadku tradycyjnych ataków phishingowych – strony internetowej do złudzenia przypominającej stronę banku lub innej wiarygodnej instytucji, wymagającej zalogowania – po podaniu danych logowania, są one przechwytywane przez atakującego^[1]^[2];
strony umożliwiające dokonanie płatności – rzekomo pożądanej przez użytkownika (np. opłaty parkingowej),
strony pobierania złośliwego oprogramowania^[2];
link uwierzytelniający logowanie na urządzeniu oszusta na konto użytkownika w danej aplikacji. Opisano przejmowanie w ten sposób dostępu do aplikacji Wiadomości od Google – działanie to umożliwia oszustowi czytanie wiadomości SMS ofiary, dostęp do listy kontaktów z urządzenia, wysyłkę SMS-ów w imieniu ofiary (także dodatkowo płatnych)^[3].

Zapobieganie i obrona przed atakami quishingowymi[edytuj | edytuj kod]

Jako główne metody ochrony przed atakami quishingowymi wskazuje się:

weryfikację wiarygodności kodu QR i powiązanego z nim opisu (np. na plakacie czy ulotce),
weryfikację autentyczności strony, na którą trafiło się po zeskanowaniu kodu^[2],
zachowanie szczególnej ostrożności w przypadku kodów QR z dołączoną wiadomością wzbudzającą szczególne emocje,
wyłączenie niezaufanym aplikacjom dostępu do kamery w urządzeniu mobilnym (w celu uniknięcia niezamierzonego zeskanowania kodu),
wykorzystywanie wyłącznie oficjalnych aplikacji do płatności w miejscach publicznych^[1].

Każdy fakt padnięcia ofiarą podobnego oszustwa należy zgłosić policji^[3].

Przypisy[edytuj | edytuj kod]

↑ ^a ^b ^c ^d ^e Otwierasz kody QR z nieznanego źródła? Takie zachowanie może Cię drogo kosztować! [online] [dostęp 2024-03-26] [zarchiwizowane z adresu 2024-03-19] .
↑ ^a ^b ^c ^d ^e Quishing – oszustwo z wykorzystaniem kodów QR [online] [dostęp 2024-03-26] [zarchiwizowane z adresu 2024-03-19] .
↑ ^a ^b ^c Oszustwa z wykorzystaniem kodów QR [online], CERT Polska [dostęp 2024-03-26] [zarchiwizowane z adresu 2024-03-26] .
↑ Fałszywe kody QR na krakowskich parkomatach. Oszuści w rękach policji [online], Wyborcza.pl, 18 lipca 2023 [dostęp 2024-03-26] [zarchiwizowane z adresu 2024-03-26] .

[zgoda-1] Otwierasz kody QR z nieznanego źródła? Takie zachowanie może Cię drogo kosztować! [online] [dostęp 2024-03-26] [zarchiwizowane z adresu 2024-03-19] .

[gov-2] Quishing – oszustwo z wykorzystaniem kodów QR [online] [dostęp 2024-03-26] [zarchiwizowane z adresu 2024-03-19] .

[cert-3] Oszustwa z wykorzystaniem kodów QR [online], CERT Polska [dostęp 2024-03-26] [zarchiwizowane z adresu 2024-03-26] .

[krk-4] Fałszywe kody QR na krakowskich parkomatach. Oszuści w rękach policji [online], Wyborcza.pl, 18 lipca 2023 [dostęp 2024-03-26] [zarchiwizowane z adresu 2024-03-26] .

[1]

[2]

[3]

[4]