Quishing
Quishing – metoda oszustwa internetowego (forma phishingu[1]), polegająca na przekazaniu ofierze oszustwa do zeskanowania odpowiednio spreparowanego kodu QR[2].
Przygotowanie ataku[edytuj | edytuj kod]
![](http://upload.wikimedia.org/wikipedia/commons/thumb/a/ad/Hostiva%C5%99sk%C3%BD_lesopark%2C_po%C4%8Dm%C3%A1ran%C3%A1_tabule_%28z%C3%A1kaz_skl%C3%A1dky_pod_pokutou%29%2C_detail.jpg/220px-Hostiva%C5%99sk%C3%BD_lesopark%2C_po%C4%8Dm%C3%A1ran%C3%A1_tabule_%28z%C3%A1kaz_skl%C3%A1dky_pod_pokutou%29%2C_detail.jpg)
Oszuści mogą znaleźć ofiarę korzystając z komunikatorów lub mediów społecznościowych i za ich pośrednictwem wysyłać jej spreparowany kod QR[3], możliwe jest także przekazanie kodu QR w inny sposób – na przykład na ulotce wręczonej na ulicy bądź poprzez umieszczenie kodu w miejscu publicznym[1] (w 2023 roku złapano na przykład oszustów rozklejających fałszywe kody QR na krakowskich parkomatach[4]).
Aby dodatkowo zachęcić ofiarę do zeskanowania kodu, stosuje się różne techniki manipulacyjne – na przykład: opisuje się go jako prowadzący do odbioru nagrody, dokonania płatności mobilnej[2], obiecuje się oszczędność czasu i ułatwienie życie lub straszy promocją ograniczoną czasowo[1].
Metody quishingu[edytuj | edytuj kod]
Kiedy ofiara zeskanuje przekazany przez hakera kod QR, zostaje przekierowana pod przygotowany przez niego adres – na przykład:
- podobnie jak w przypadku tradycyjnych ataków phishingowych – strony internetowej do złudzenia przypominającej stronę banku lub innej wiarygodnej instytucji, wymagającej zalogowania – po podaniu danych logowania, są one przechwytywane przez atakującego[1][2];
- strony umożliwiające dokonanie płatności – rzekomo pożądanej przez użytkownika (np. opłaty parkingowej),
- strony pobierania złośliwego oprogramowania[2];
- link uwierzytelniający logowanie na urządzeniu oszusta na konto użytkownika w danej aplikacji. Opisano przejmowanie w ten sposób dostępu do aplikacji Wiadomości od Google – działanie to umożliwia oszustowi czytanie wiadomości SMS ofiary, dostęp do listy kontaktów z urządzenia, wysyłkę SMS-ów w imieniu ofiary (także dodatkowo płatnych)[3].
Zapobieganie i obrona przed atakami quishingowymi[edytuj | edytuj kod]
![](http://upload.wikimedia.org/wikipedia/commons/thumb/f/fe/Wikimania_2011_-QRpedia_code_scanning-_by-RaBoe-23.jpg/220px-Wikimania_2011_-QRpedia_code_scanning-_by-RaBoe-23.jpg)
Jako główne metody ochrony przed atakami quishingowymi wskazuje się:
- weryfikację wiarygodności kodu QR i powiązanego z nim opisu (np. na plakacie czy ulotce),
- weryfikację autentyczności strony, na którą trafiło się po zeskanowaniu kodu[2],
- zachowanie szczególnej ostrożności w przypadku kodów QR z dołączoną wiadomością wzbudzającą szczególne emocje,
- wyłączenie niezaufanym aplikacjom dostępu do kamery w urządzeniu mobilnym (w celu uniknięcia niezamierzonego zeskanowania kodu),
- wykorzystywanie wyłącznie oficjalnych aplikacji do płatności w miejscach publicznych[1].
Każdy fakt padnięcia ofiarą podobnego oszustwa należy zgłosić policji[3].
Przypisy[edytuj | edytuj kod]
- ↑ a b c d e Otwierasz kody QR z nieznanego źródła? Takie zachowanie może Cię drogo kosztować! [online] [dostęp 2024-03-26] [zarchiwizowane z adresu 2024-03-19] .
- ↑ a b c d e Quishing – oszustwo z wykorzystaniem kodów QR [online] [dostęp 2024-03-26] [zarchiwizowane z adresu 2024-03-19] .
- ↑ a b c Oszustwa z wykorzystaniem kodów QR [online], CERT Polska [dostęp 2024-03-26] [zarchiwizowane z adresu 2024-03-26] .
- ↑ Fałszywe kody QR na krakowskich parkomatach. Oszuści w rękach policji [online], Wyborcza.pl, 18 lipca 2023 [dostęp 2024-03-26] [zarchiwizowane z adresu 2024-03-26] .