Vēl viens jauns termiņš mums šodien - QRishing Šī pikšķerēšanas forma ir sākta, izmantojot QR kodus. QR kodi ir šie kvadrātveida attēli ar vairākiem melnā un baltā krāsu kodiem, ko mēs redzam laikrakstos, žurnālos, brošūrās, plakātros utt., Skenēšana, kas - mēs esam novirzīti uz vietni, varam saglabāt kontaktus vai atvērt programmas. Parasti QR kods saglabā URL un citu saistītu informāciju. Tās izmantošana ir palielinājusies, un to izmanto gandrīz visam, ieskaitot darījumus ar maksājumu vārtiem un svarīgu medicīnisko datu uzglabāšanu.
Drošības problēmas ar QR kodiem
Daudzas lietojumprogrammas, kurās tiek izmantoti QR kodi, konkrēti neparāda mērķa darbības URL, it īpaši, ja tiek izmantoti maksājumu vārti. Mēģinot atvērt vietnes, tas parasti parāda hipersaiti, bet hackers un kibernoziedznieki izmanto URL shorteners, lai paslēptu galīgo saiti. Turklāt vietrādis URL, kas tiek parādīts, skenējot mobilo ierīci, izmantojot QR kodu, mobilās pārlūkprogrammā var nebūt pilnībā redzams.
Kas ir QRishing krāpnieki
QRishing pārveido par pikšķerēšanu, iesaistot QR kodus. Drošības apsvērumi par QRishing tika izvirzīti pirms pirmajiem gadiem, bet tie nebija tik daudz problēmu, kā tagad. Tā kā QRishing uzbrukumi sāk kļūt par kopīgiem, Carnegie Mellon University pētījums, pirmais šāda veida, ar nosaukumu Viedtālruņu lietotāju jutīgums pret QR koda pikšķerēšanu ir veikta, lai atrastu problēmas apjomu un iespējamās vājās vietas.
Tāpat kā pikšķerēšanas uzbrukumi pa e-pastu, ziņkārība ir tas, ko kiberuzbrukumi izmanto, lai lietotāji skenētu ļaunprātīgus QR kodus. Pikšķerēšanas e-pasts ir zināms drošības jautājums jau ilgu laiku, tāpēc visi lielākie tīmekļa serveri ir izstrādājuši pasākumus, lai to novērstu. Tas pats nešķiet taisnīgs ar QRishing, kas ir mazāk zināms, mazāk pētīts un gandrīz pilnīgi neapturams.
Lai to pievienotu, mobilās pārlūkprogrammas, piemēram, iPhone, Android tālruņi vai Windows tālruņi, neizmanto tādas pašas drošās pārlūkošanas metodes, kādas ir darbvirsmas pārlūkprogrammām, piemēram, vietņu salīdzināšana ar melno sarakstu vai tādas darbības kā "noklikšķiniet uz vēl vienu pogu" utt..
Kā QRishing tiek darīts un ar kādiem nolūkiem
QRishing izmanto sociāli inženierijas ēsmu, lai potenciālie upuri skenētu kodu. Tādas pašas ir izmantotas šādas metodes:
- Pārklāj caurspīdīgu apvalku ļaunprātīgs QR kods īstas QR virsū kods: To vispirms novēroja bankās, kurās cilvēki būtu ļoti pārliecināti par QR koda skenēšanu, un tie arī jāizmanto citur. Iemesls koda autentiskumam ir tā atrašanās vieta. Piemēram Ja lietotājs atrodas pazīstamās bankas vai valdības birojā, pastāv lielas izredzes uzticēties visiem QR kodiem telpās, jo uzticas zīmolam. Šādā situācijā kibernoziedznieki ielīmē pārāk lielu ļaundabīgo QR kodu, kas pārsniedz patieso.
- Uzņēmuma informācijas maiņa virs QR kods: Lai maldinātu lietotājus, uzskatot, ka viņi meklēs īstu QR kodu, hakeris izmantos QR kodu uz plakāta ar patiesu zīmolu. Piemēram Banner, brošūra vai plakāts uz ielas, kurā minēts pazīstams banka, lūgs lietotājiem skenēt QR kodu. Savukārt QR kods varētu būt pikšķerēšanas mēģinājums, kuru upuris, iespējams, nevarētu atpazīt.
- QR kodu izmantošana kā atlaide vou cher: Cilvēki mīl atlaides, un kiberuzbrukumi ļoti labi to zina. Izmantojot QR kodus, lai radītu diskonta kuponu vadošajiem tiešsaistes zīmoliem, piemēram, Amazon, daudz tiek izmantots QRishing. Drīzāk ziņojums par QR drošības jautājumiem liecina, ka lietotājiem ir lielāka iespēja atvērt QR kodus, kas piedāvā atlaides.
Šādu uzbrukumu mērķis var būt no personas datu zādzības līdz klikšķināšanas ēsmai līdz naudas krāpšanai. Zināmā QRians lietā koledžas students novirza QR kodu savā Twitter kontā tikai, lai iegūtu vairāk viedokļu par to. Viņš saīsināja URL, lai to nevarētu atpazīt.
Ļoti bīstama lieta, ko dara kibernoziedznieki, maina QR kodus maksājumu vārdnīcās, ko skenē, lai veiktu maksājumus. Līdz brīdim, kad tiek atklāta saņēmēja informācija, maksājums jau ir veikts.
Lai gan lielākā daļa no mums ir informēti par pikšķerēšanas e-pasta lietošanu un domā divreiz, pirms kopīgi izmantojam savus akreditācijas datus uz aizdomīgām lapām, mēs saņemam e-pastu, taču tas neatbilst QR kodiem. Ja lietotājs tiek novirzīts uz QRishing lapu, kurā tiek lūgti viņa / viņas akreditācijas dati, lietotājam, iespējams, nav iespējams aizdomām par krāpšanu un atdot akreditācijas datus.
Kā pasargāt sevi no QRishing krāpšanas
Daži pamata soļi, kas jāveic:
- Sargieties no apvalkām ar QR kodiem: Sliktākais veids QRishing uzbrukumiem tiek veikta, līmējot pārredzamu apvalku ļaunprātīgu QR kodu par īstu. Uzmanīgs izskats varētu palīdzēt to uzzināt.
- Neatvērt saīsinātus URL: Ideālā gadījumā ieteicams pārbaudīt saīsinātu URL, paplašinot to, izmantojot dažus rīkus. Bet tas ne vienmēr ir iespējams, izmantojot mobilo pārlūku. Drīzāk URL, ko parāda QR kodi mobilajā pārlūkā, parasti nav pilnīgi. Ir labāk izvairīties no to atvēršanas.
- Esi uzmanīgs, pirms ieejat savā akreditācijas dati: Vienmēr jāievada akreditācijas dati drošā vietnē, kuras tīmekļa adrese sākas ar "https://". Nekad nedariet to ar izlases saitēm, kuras jums ir jānosūta, izmantojot QR kodus.
- Instalējiet drošības programmas savā mobilajā ierīcē: Mobilās pārlūkprogrammas vēl nav pielietojušas melnā saraksta un citus drošības pasākumus, piemēram, datora pārlūkprogrammas.Atšķirībā no darbvirsmas pārlūkprogrammām, kas vaicā par neaizsargātām vietnēm un uzdod jautājumu, vai lietotājs vēlas ievadīt, mobilās pārlūkprogrammas parasti to nepārbauda. Tomēr daži drošības lietojumprogrammas var palīdzēt ar to pašu.
- Izvairieties no QR kodiem: Neskatoties uz to, ka QR kodi ir viens no ērtākajiem risinājumiem, labāk izvairīties no to izmantošanas, līdz tiek veikti pietiekami pētījumi, lai padarītu tos drošākus un publiskus.
Reālistisks iemesls, kāpēc QRishing ir tik nopietna bažas, ir tas, ka mēs, cilvēki, nav gatavi tam. Tā kā tas ir jauns termins, ir maz pētījumu, lai to novērstu. Lai gan e-pasta pikšķerēšanai ir pietiekama izpratne, cilvēki joprojām uzticas QR kodiem.
Saistītie raksti:
- Spiegu pikšķerēšana: skaidrojums, piemēri un aizsardzība
- Kas ir pikšķerēšana un kā noteikt pikšķerēšanas uzbrukumus
- Kibernoziegumu aktu un preventīvo pasākumu veidi
- Saraksts labāko mobilo kabatu Indijā, lai veiktu tiešsaistes maksājumus
- Kā izvairīties no pikšķerēšanas veida izkrāpšanu un uzbrukumiem
