היזהרו מהונאות זדוניות של קוד QR

נציבות הסחר הפדרלית של ארה"ב (FTC) מזהירה אנשים לנקוט משנה זהירות בעת קבלת מיילים או הודעות מוזרות המבקשות ממשתמשים לסרוק קודי QR עקב סימנים חריגים בחשבונותיהם או בעיות בהזמנות המשלוח שלהם. קודי QR זדוניים אלה יפנו משתמשים לאתרים מזויפים שגונבים מידע אישי.

קרן סמית', סגן נשיא חברת אבטחת הסלולר זימפריום, אמר כי התקפות המכוונות לטלפונים גדלות באופן אקספוננציאלי משום שמערכות האנטי-פישינג של חברות רבות אינן מצוידות לעצור קודי QR מזויפים.

התקפות מבוססות קוד QR אינן דבר חדש, אך אנשים רעים משתמשים יותר ויותר בטקטיקה מתוחכמת זו, אמר שיאבה טריפאטי, חוקר בחברת אבטחת הסייבר Trellix. Trellix זיהתה יותר מ-60,000 דגימות קוד QR זדוניות ברבעון השלישי של 2023 בלבד.

משטרה בכמה ערים בטקסס (ארה"ב) מצאה קודי QR מזויפים שהוצבו על מדי חניה, המקשרים לאתר תשלום מזויף. כאשר משתמשים משלמים, הכסף מועבר לחשבון הנוכל וקיים סיכון לגניבת פרטי התחברות.

על פי ה"אינדיפנדנט", אישה בת 71 בבריטניה הפסידה 13,000 ליש"ט לאחר שפרטי כרטיס האשראי שלה נחשפו לאחר סריקת קוד QR מזויף. למרות שהבנק בו השתמשה חסם סדרה של עסקאות הונאה, הנוכל המשיך להתקשר לקורבן, התחזה לעובדת בנק ושכנע אותה למסור מידע נוסף. לאחר שהצליח לגנוב את המידע, הנוכל יצר חשבון חדש כדי ללוות כסף וליצור כרטיס אשראי תחת זהות הקורבן.

סטיב ג'פרי, מהנדס בחברת אבטחת הסייבר והאוטומציה העולמית פורטרה, אמר שרוב מערכות אבטחת הדוא"ל אינן בודקות את תוכן קודי ה-QR, מה שמקשה על מניעת התקפות פישינג. במקום לשלוח קישורים ישירים, הרעים שולחים קישורים באמצעות קודי QR.

הונאות קוד QR עלו ב-51% בספטמבר בהשוואה לשמונת החודשים הקודמים, כך עולה מדו"ח של חברת האבטחה וניהול הסיכונים Reliaquest. הזינוק נובע מהפופולריות של סמארטפונים וחוסר ערנות של המשתמשים בעת סריקת קודי QR.

לפי The Verge , ה-FTC ממליץ למשתמשים לעדכן באופן קבוע את המכשירים שלהם, ליצור סיסמאות חזקות ולהגדיר אימות רב-גורמי עבור חשבונות חשובים. משתמשים לא צריכים להוריד אפליקציות לסריקת קודי QR מכיוון שאפליקציית המצלמה באנדרואיד וב-iOS כוללת תכונה זו מובנית. משתמשים צריכים גם לבדוק היטב את שם הקישור לפני הלחיצה מכיוון שאנשים רשעים יכולים להחליף אותיות שונות מהשם המקורי.