Quishing je na vzestupu. QR kódy přitom ohrožují lidi i firmy

14. 2. 2024. (redaktor: František Doupal, zdroj: Thein Security)
Americká federální komise pro obchod (FTC) v prosinci 2023 vydala varování před škodlivými QR kódy. Týkalo se USA, ale tento nový typ bezpečnostních útoků, označovaný jako quishing, je na vzestupu i v Česku.

„Mezi našimi klienty pozorujeme, že lidé i firemní prostředí jsou k novému fenoménu quishingu poměrně vysoce náchylní. V poslední době se s tím bohužel v praxi setkáváme čím dál častěji. Veřejnost, ale i zaměstnanci mu snadno podlehnou, chybí dostatečně povědomí o nebezpečích i jak se útokům bránit,” potvrdila narůstající popularitu quishingu v Česku Irena Hýsková, výkonná ředitelka Thein Security.

QR kódy jsou dnes běžným nástrojem využívaným pro řadu účelů. Otevření webových stránek, poskytnutí kontaktní informace, online platby, vstupenky na akce, pořízení mobilních aplikací, objednávání jídla i zboží a řadu dalších užitečných činností.

Fungují přitom velmi snadno. Namíříte fotoaparát telefonu na QR kód, telefon jej přečte a podle obsahu „kostiček“ provede odpovídající akci. Nejčastěji právě otevření webových stránek či mobilních aplikací nebo vyvolání online platby.

QR kódy se ale staly nástrojem kybernetických útoků v nové formě phishingu (rhybaření) a tato aktivita získala i označení, quishing (QR code phishing). Útočníci využívají toho, že lidé prozatím nevědí o rizicích a nejsou dostatečně obezřetní a zároveň toho, že do obsahu QR kódu není vidět, dokud ho načtete telefonem.

Quishing se dá velmi snadno využít tak, že oběť otevře webovou adresu, o které si myslí, že je bezpečná. Ve skutečnosti otevře škodlivou webovou stránku s viry či malwarem, nebo falešnou webovou stránku napodobující například banku, e-mail, či jiné služby vyžadující přihlašovací údaje. Ty, nic netušící, zadá, aby v zápětí došlo k odcizení online účtu.

Cílený quishing (spear quishing) může být na míru vyrobený pro útok na firmy a organizace. Útočník se tak může dostat do firemních sítí, hacknout další firemní počítače, ukrást data, nasadit ransomware. Při cílení na finanční oddělení mohou podvržené QR kódy vést k převodům peněz na účty útočníka. Velmi často slouží k odcizení osobních údajů či finančních informací, zejména v podobě kompletních údajů z platební karty.

Stejným způsobem například funguje přelepování QR kódu na parkovacích automatech. Ať už vedoucích přímo k placení, nebo k instalaci parkovacích aplikací. Do mobilu oběti se tak dostane škodlivá podvodná aplikace.

Oblíbené je i využití pro modernější formu upozornění na nedoručenou zásilku nebo podvodná varování o problémech s účty, pokyny k zaplacení pokuty i řada dalších aktivit.

Jak se bránit quishingu

Obrana proti qushingu může být poněkud komplikovaná, zejména s ohledem na nedostatek zkušeností a nedostatečné povědomí o rizicích. Nejdůležitější obranou by tedy mělo být vzdělávání, jak u spotřebitelů, tak ve firemním prostředí.

Je třeba se naučit neotevírat QR kódy z nejistých zdrojů. Pokud už otevírat, tak důsledně ověřovat  - zda otevřený web je skutečně ten, co měl být otevřen, zda číslo účtu v pokynu k platbě je správné. To, zda je QR kód bezpečný je velmi často snadno možné ověřit na webových stránkách, kontaktováním společnosti spojené s QR kódem. Vyplatí se i prozkoumat a ověřit e-mail odesílatele e-mailu s QR kódem, či telefonní číslo, ze kterého kód přišel.

Obzvlášť pozor je třeba dávat na QR kódy zobrazující se v online, ale i offline reklamách. Reklama je častým nástrojem kyberútoků. 

Ve firemním prostředí platí výše uvedené, ale zcela jistě lze přidat i další dodatečné způsoby prevence a ochrany. Od nastavení procesů, zejména například při ověřování plateb, odpovídající ochrany mobilních zařízení včetně omezení přístupů a aktivit až po důsledné zabezpečení přihlašování k firemním systémům a sítím.

Ve firmách tedy platí, že nejlepší kombinace je proškolení zaměstnanců, používání bezpečnostního softwaru a jasné nastavení politiky používání QR kódů.

Štítky: 
Bezpečnost, Thein Security
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Nová služba Acronis MDR přináší integrovanou obnovou po útoku a další možnosti

14. 5. 2024. (redaktor: František Doupal, zdroj: Acronis)
Nová služba Acronis Managed Detection and Response (MDR), dostupná poskytovatelům MSP využívajícím Acronis Cyber Protect Cloud, umožňuje nabízet bezpečnostní monitoring, rychlou detekci, investigaci, eliminaci hrozeb, reakci na incidenty a nápravu kybernetických útoků na profesionální úrovni bez nutnosti udržovat kvalifikovaný tým a specializovanou sadu nástrojů. Čtěte více

Platby výkupného za ransomware vzrostly za poslední rok na pětinásobek

10. 5. 2024. (redaktor: František Doupal, zdroj: Sophos)
Podle výroční zprávy State of Ransomware 2024 společnosti Sophos se průměrná výše výkupného za poslední rok zvýšila na pětinásobek. Organizace, které zaplatily výkupné, uvádějí průměrnou platbu ve výši dvou milionů dolarů, oproti 400 000 dolarů v průzkumu z roku 2023. Výkupné je ale pouze částí celkových nákladů. Čtěte více

Obavy o zabezpečení cloudů má 96 % firem

9. 5. 2024. (redaktor: František Doupal, zdroj: Fortinet)
Neustálý vývoj a zavádění nových cloudových aplikací komplikuje zabezpečení podnikového IT. Podle průzkumu společnosti Fortinet například 96 % respondentů uvádí, že mají střední nebo velké obavy o cloudovou bezpečnost. Podle 93 % dotazovaných je vážným problémem zejména všeobecný nedostatek odborníků na zabezpečení cloudů. Čtěte více

Nový tým Esetu se zaměří na mezinárodní kyberkriminalitu

6. 5. 2024. (redaktor: František Doupal, zdroj: Eset)
Bezpečnostní experti z pražské pobočky ESETu se nově cíleně zaměří na mezinárodní aktivity kyberkriminálních útočných skupin. Nově vzniklý tým vedený Jakubem Součkem má za úkol aktivně vyhledávat a dlouhodobě monitorovat obávané útoky ransomwarem, který dle dat společnosti ESET posílil v minulém roce o více než 50 procent. Čtěte více