Quishing je na vzestupu. QR kódy přitom ohrožují lidi i firmy
„Mezi našimi klienty pozorujeme, že lidé i firemní prostředí jsou k novému fenoménu quishingu poměrně vysoce náchylní. V poslední době se s tím bohužel v praxi setkáváme čím dál častěji. Veřejnost, ale i zaměstnanci mu snadno podlehnou, chybí dostatečně povědomí o nebezpečích i jak se útokům bránit,” potvrdila narůstající popularitu quishingu v Česku Irena Hýsková, výkonná ředitelka Thein Security.
QR kódy jsou dnes běžným nástrojem využívaným pro řadu účelů. Otevření webových stránek, poskytnutí kontaktní informace, online platby, vstupenky na akce, pořízení mobilních aplikací, objednávání jídla i zboží a řadu dalších užitečných činností.
Fungují přitom velmi snadno. Namíříte fotoaparát telefonu na QR kód, telefon jej přečte a podle obsahu „kostiček“ provede odpovídající akci. Nejčastěji právě otevření webových stránek či mobilních aplikací nebo vyvolání online platby.
QR kódy se ale staly nástrojem kybernetických útoků v nové formě phishingu (rhybaření) a tato aktivita získala i označení, quishing (QR code phishing). Útočníci využívají toho, že lidé prozatím nevědí o rizicích a nejsou dostatečně obezřetní a zároveň toho, že do obsahu QR kódu není vidět, dokud ho načtete telefonem.
Quishing se dá velmi snadno využít tak, že oběť otevře webovou adresu, o které si myslí, že je bezpečná. Ve skutečnosti otevře škodlivou webovou stránku s viry či malwarem, nebo falešnou webovou stránku napodobující například banku, e-mail, či jiné služby vyžadující přihlašovací údaje. Ty, nic netušící, zadá, aby v zápětí došlo k odcizení online účtu.
Cílený quishing (spear quishing) může být na míru vyrobený pro útok na firmy a organizace. Útočník se tak může dostat do firemních sítí, hacknout další firemní počítače, ukrást data, nasadit ransomware. Při cílení na finanční oddělení mohou podvržené QR kódy vést k převodům peněz na účty útočníka. Velmi často slouží k odcizení osobních údajů či finančních informací, zejména v podobě kompletních údajů z platební karty.
Stejným způsobem například funguje přelepování QR kódu na parkovacích automatech. Ať už vedoucích přímo k placení, nebo k instalaci parkovacích aplikací. Do mobilu oběti se tak dostane škodlivá podvodná aplikace.
Oblíbené je i využití pro modernější formu upozornění na nedoručenou zásilku nebo podvodná varování o problémech s účty, pokyny k zaplacení pokuty i řada dalších aktivit.
Jak se bránit quishingu
Obrana proti qushingu může být poněkud komplikovaná, zejména s ohledem na nedostatek zkušeností a nedostatečné povědomí o rizicích. Nejdůležitější obranou by tedy mělo být vzdělávání, jak u spotřebitelů, tak ve firemním prostředí.
Je třeba se naučit neotevírat QR kódy z nejistých zdrojů. Pokud už otevírat, tak důsledně ověřovat - zda otevřený web je skutečně ten, co měl být otevřen, zda číslo účtu v pokynu k platbě je správné. To, zda je QR kód bezpečný je velmi často snadno možné ověřit na webových stránkách, kontaktováním společnosti spojené s QR kódem. Vyplatí se i prozkoumat a ověřit e-mail odesílatele e-mailu s QR kódem, či telefonní číslo, ze kterého kód přišel.
Obzvlášť pozor je třeba dávat na QR kódy zobrazující se v online, ale i offline reklamách. Reklama je častým nástrojem kyberútoků.
Ve firemním prostředí platí výše uvedené, ale zcela jistě lze přidat i další dodatečné způsoby prevence a ochrany. Od nastavení procesů, zejména například při ověřování plateb, odpovídající ochrany mobilních zařízení včetně omezení přístupů a aktivit až po důsledné zabezpečení přihlašování k firemním systémům a sítím.
Ve firmách tedy platí, že nejlepší kombinace je proškolení zaměstnanců, používání bezpečnostního softwaru a jasné nastavení politiky používání QR kódů.