היזהרו מהונאות באמצעות קודי QR זדוניים

נציבות הסחר הפדרלית של ארה"ב (FTC) מזהירה אנשים לנקוט משנה זהירות בעת קבלת מיילים או הודעות מוזרות המבקשות ממשתמשים לסרוק קודי QR עקב סימנים חריגים בחשבונותיהם או בעיות בהזמנות המשלוח שלהם. קודי QR זדוניים אלה יפנו משתמשים לאתרים מזויפים כדי לגנוב מידע אישי.

קרן סמית', סגן נשיא חברת אבטחת הסלולר זימפריום, אמר כי התקפות המכוונות לטלפונים גדלות באופן אקספוננציאלי משום שמערכות האנטי-פישינג של חברות רבות אינן מצוידות לעצור קודי QR מזויפים.

התקפות מבוססות קוד QR אינן דבר חדש, אך אנשים רעים משתמשים יותר ויותר בטקטיקה מתוחכמת זו, אמר שיאבה טריפאטי, חוקר בחברת אבטחת הסייבר Trellix. Trellix זיהתה יותר מ-60,000 דגימות קוד QR זדוניות ברבעון השלישי של 2023 בלבד.

שוטרים בכמה ערים בטקסס (ארה"ב) מצאו קודי QR מזויפים שהוצבו על מדי חניה, המקשרים לאתר תשלום מזויף. כאשר משתמשים משלמים, הכסף יועבר לחשבון הנוכל וקיים סיכון לגניבת פרטי התחברות.

על פי ה"אינדיפנדנט", אישה בת 71 בבריטניה הפסידה 13,000 ליש"ט לאחר שחשפה את פרטי כרטיס האשראי שלה לאחר סריקת קוד QR מזויף. למרות שהבנק בו השתמשה חסם סדרה של עסקאות מזויפות, הנוכל המשיך להתקשר לקורבן, התחזה לעובדת בנק ושכנע אותה למסור מידע נוסף. לאחר שהצליח לגנוב את המידע, הנוכל יצר חשבון חדש כדי ללוות כסף וליצור כרטיס אשראי תחת זהות הקורבן.

סטיב ג'פרי, מהנדס בחברת אבטחת הסייבר והאוטומציה העולמית פורטרה, אמר שרוב מערכות אבטחת הדוא"ל אינן בודקות את תוכן קודי ה-QR, מה שמקשה על מניעת התקפות פישינג. במקום לשלוח קישורים ישירים, הרעים שולחים קישורים באמצעות קודי QR.

הונאות קוד QR עלו ב-51% בספטמבר בהשוואה לשמונת החודשים הקודמים גם יחד, כך עולה מדו"ח של חברת האבטחה וניהול הסיכונים Reliaquest. העלייה נובעת מפופולריות של סמארטפונים וחוסר ערנות של משתמשים בעת סריקת קודי QR.

לפי The Verge , ה-FTC ממליץ למשתמשים לעדכן באופן קבוע את המכשירים שלהם וליצור סיסמאות חזקות, ולהגדיר אימות רב-גורמי עבור חשבונות חשובים. אין להוריד אפליקציות לסריקת קוד QR מכיוון שאפליקציית המצלמה באנדרואיד וב-iOS כוללת פונקציה זו מובנית. על המשתמשים גם לבדוק היטב את שם הקישור לפני הלחיצה מכיוון שאנשים רשעים יכולים להחליף אותיות שונות מהשם המקורי.