QR Phishing. Trend mezi online podvody, na co si dát pozor?

Phishing je dlouhodobým rizikem digitálního světa, o kterém většina lidí ví. Stačí nepozornost a trocha slepé důvěry, a jste bez peněz. Ať už prostřednictvím e-mailu, SMS, sociálních médií nebo jiných prostředků, phishing představuje riziko pro všechny uživatele.

Nová technologie – nové podvody

QR phishing je forma phishingu, která využívá QR kódy. Útočník, často maskovaný za legitimní osobu nebo organizaci, odešle cíli QR kód a oklame ho. Manipulací jej přiměje, aby kód naskenoval. Kód pak zavede cíl tam, kam útočník chce, ať už na falešnou přihlašovací stránku nebo na stránku, z níž do uživatelova zařízení přejde malware.

Stejně jako jiné druhy phishingu, lze QR phishing použít různými způsoby a pro různé účely. V závislosti na konkrétních touhách a prostředcích, které pachatel nebo zločinecká organizace má, lze QR phishing nasadit prostřednictvím e-mailu, SMS nebo dokonce na papíře – kdekoli, kde podvodníci mohou uživatele přimět k naskenování kódu. Kyberzločinci používají řadu sociálně-inženýrských taktik, aby své cíle přiměli skenovat kódy rychle a bez přemýšlení.

Cíle QR phishingu? Získat informace, a díky ni peníze

I když existuje mnoho cest, jak mohou pachatelé využít informace svých cílů, účel většiny phishingů lze rozdělit do dvou kategorií:

• Peníze: Kyberzločinci často odesílají zprávy obsahující faktury nebo dokonce prosby o finanční pomoc a používají podvod a sociální inženýrství, aby přesvědčili cíl, aby urgentně poslal peníze.
• Data: Přihlašovací údaje, osobní údaje a další citlivá data získaná prostřednictvím QR phishingu mohou být pro pachatele ziskové.

Důsledky pro oběti jsou až nedozírné

Stejně jako u jiných typů phishingu, může QR phishing vést k různým důsledkům pro jednotlivce i organizace. Zatímco phishingové zprávy žádající o peníze mohou znamenat jisté finanční ztráty, odcizená data jsou možná ještě větším nebezpečím. Jednou z běžných taktik je zfalšovat QR kód pro dvoufaktorové ověřování (MFA) za účelem získání přihlašovacích údajů. Cesta do online bankovnictví oběti je pak přímá.

Phishing nemíří jen na jednotlivce. Obětí bývají i firmy nebo organizace

Je také možné, že QR phishing se stane prostředkem pro doručování malwaru, včetně ransomwaru. Viry a ransomware nejsou malé nebezpečí, zejména pro organizace, které zpracovávají velké množství citlivých dat, jako jsou finanční služby, zdravotnická zařízení a vládní subjekty. Pokud cílová organizace není na tento typ útoku dostatečně připravena, může jeden zaměstnanec, který se nechá nachytat na QR phishingový útok, vést ke ztrátě důležitých dat.

Co pomůže? Hlavně vzdělávání a dostatečná informovanost

Jednou z nejdůležitějších zbraní v arzenálu jakékoli organizace proti phishingu je školení zaměstnanců o kybernetické bezpečnosti. Aby se zabránilo situaci, kdy osoba z firmy/organizace neúmyslně umožní útočníkovi získat přístup, musí být zaměstnanci poučeni o tom, jak tyto hrozby odhalit, identifikovat a reagovat na ně.

V podstatě adekvátní školení snižuje pravděpodobnost, že zaměstnanec podnikne kroky, které mohou způsobit bezpečnostní incidenty, jako je skenování neznámých QR kódů z neznámých zdrojů.

Další ochranná vrstva v podobě MFA

Další opatření, která může organizace přijmout k ochraně proti QR phishingu, zahrnují povinné MFA pro zaměstnance. Tímto způsobem se vytváří další vrstva zabezpečení, která brání pachatelům v přístupu, i přesto, že úspěšně ukradnou autorizované přihlašovací údaje.

Organizacím se také doporučuje zajistit, aby veškerý software byl aktuální a správně nakonfigurován, aby se zabránilo možnosti, že kyberzločinci využijí bezpečnostní mezery k úniku svých útoků.

QR phishing je značně dynamický

Phishing je dynamický typ útoku, který může vést ke ztrátě peněz, citlivých informací a dalších cenných aktiv. Používání QR kódů k provádění těchto útoků je novějším jevem, technologie QR kódů se k většinové společnosti dostala až nedávno.

Vzhledem k rozšířenému používání QR kódů pro každodenní účely, jako je skenování QR kódu pro zobrazení digitálního menu v restauraci, věří uživatelé QR kódům víc, než by bylo zdrávo. Zejména pokud se zdá, že QR kódy pocházejí z důvěryhodného nebo známého zdroje. Je životně důležité, aby jednotlivci a organizace upřednostňovali bezpečnost a vyhýbali se skenování QR kódů bez předchozí analýzy situace.

Shrňme si to: jak se bránit jako jednotlivec a jak coby firma?

Na individuální úrovni je dobré začít jednoduše ignorováním jakéhokoli QR kódu z neznámého zdroje. To se ale hlavně ve firmě snáze řekne, než udělá, zejména v této digitální době, kdy se mnoho QR kódů používá k legitimním účelům.

Místo úvah o bezpečnosti jednotlivých QR kódů by vedoucí pracovníci v oblasti bezpečnosti měli zvážit uplatnění strategie vrstvené obrany proti QR phishingu, včetně:

• Zavedení vícefaktorové autentizace (MFA), která se nespoléhá na QR kódy, aby zaměstnanci nezlenivěli a nezačali důvěřovat e-mailům, které je používají. Místo toho upřednostněte MFA, která používá bezpečné metody, jako jsou SMS, časově omezená hesla nebo biometrie.
• Provádění školení o bezpečnostním povědomí, které zahrnuje útoky pomocí QR kódů jako součást simulací, aby se zaměstnanci mohli seznámit s touto novou variantou phishingových útoků.
• Nasazení řešení pro zabezpečení e-mailů, která mají specifické funkce pro detekci QR kódů, určené k analýze obrázků QR kódů a odpovídajících odkazů na škodlivou činnost. V kombinaci s dalšími signály, jako jsou neznámí odesílatelé, naléhavý nebo alarmující jazyk nebo zfalšované e-mailové adresy, mohou tato řešení pomoci zlepšit účinnost detekce.