היזהרו מהונאות קוד QR

SGGPO 6 בספטמבר 2023, 20:31

כדי למנוע הונאות באמצעות קוד QR, נציג מחלקת אבטחת המידע במשרד המידע והתקשורת ממליץ למשתמשים להיות ערניים במיוחד בנוגע לקודי QR המפורסמים או משותפים במקומות ציבוריים או נשלחים דרך רשתות חברתיות או דוא"ל.

הונאת קוד QR היא אחת משש סוגיות שמשרד משרד המידע והתקשורת (MIC) העריך כנושא בולט לאחרונה, בדו"ח שפורסם במסיבת העיתונאים הרגילה של MIC בספטמבר שנערכה אחר הצהריים של ה-6 בספטמבר.

דו"ח של משרד המידע והתקשורת קבע כי בנוסף למצב של דריסה של קודי QR בחנויות, מה שגורם להעברת כספים לחשבונות הונאה, לאחרונה נרשמה גם תופעה של קודי QR זדוניים המופצים בקלות במאמרים ותמונות באמצעות אפליקציות העברת הודעות, פורומים וקבוצות ברשתות חברתיות. כאשר צופים סורקים את קוד ה-QR הזה, הם מופנים לדפי פרסום של הימורים עם קוד זדוני שניתן להתקין בטלפונים שלהם.

משרד המידע והתקשורת קיים מסיבת עיתונאים רגילה אחר הצהריים של ה-6 בספטמבר, בראשות סגן השר פאם דוק לונג וסגן השר נגוין טאן לאם.

בתשובה לשאלות מסוכנויות תקשורת במסיבת עיתונאים בנושא הונאות קוד QR, מר נגוין דוי חיאם, נציג מחלקת אבטחת המידע (משרד המידע והתקשורת), ציין כי קודי QR הפכו פופולריים יותר ויותר בכל מקום, לא רק בווייטנאם אלא גם במדינות רבות ברחבי העולם . בפרט, לאחר "הדחיפה" של מגפת הקורונה, הביקוש לקודי QR גדל במהירות. על פי נתונים סטטיסטיים של מחלקת התשלומים של בנק המדינה, קודי QR צמחו מאוד הן בכמות והן בערכם. בשנת 2022, תשלומים באמצעות קודי QR גדלו ביותר מ-225% בכמות ובמעל 243% בערכם בהשוואה לשנת 2021. "זה מראה ששיטות תשלום באמצעות קודי QR הופכות מוכרות יותר ויותר לצרכנים", שיתף מר נגוין דוי חיאם.

לצד המגמה הפופולרית של שיטות תשלום באמצעות קודי QR, תועד גם מצב ההונאה באמצעות קודי QR כבעל עלייה חדה בעולם, ואף מופיע לאחרונה בווייטנאם. באופן ספציפי, בווייטנאם, בתחילת אוגוסט, מספר בנקים פרסמו אזהרות מפני הונאות כרטיסי אשראי באמצעות קודי QR. האזהרה ציינה כי לאחר יצירת קשרים עם הקורבנות דרך רשתות חברתיות, נוכלים ישלחו קודי QR למשתמשים לסריקה. קוד זה מוביל לאתרי בנקים מזויפים, הדורשים ממשתמשים להזין מידע כגון שם מלא, מספר זיהוי אזרח, חשבון, קוד סודי או OTP. משם, חשבונות המשתמשים נשלטים. בהשוואה לקישורים זדוניים מסורתיים, לקודי QR יש יתרון בכך שניתן להכניס אותם ישירות למיילים ולהודעות מבלי להיחסם על ידי מסננים, ובכך להגיע בקלות למשתמשים.

נציג מחלקת אבטחת המידע ניתח גם הוא בבירור: למעשה, אופיו של קוד QR אינו תוכנה זדונית לתקיפה ישירה, אלא רק מתווך להעברת תוכן. האם משתמשים מותקפים או לא תלוי באופן שבו התוכן מעובד לאחר סריקת קוד ה-QR.

נציג מחלקת אבטחת המידע (משרד המידע והתקשורת) נגוין דוי חיאם דיבר עם העיתונות במסיבת העיתונאים.

בהתבסס על העובדות הנ"ל, מר נגוין דוי חיאם ממליץ למשתמשים לנקוט משנה זהירות לפני סריקת קודי QR, ובמיוחד להיזהר מקודי QR המפורסמים או משותפים במקומות ציבוריים או נשלחים דרך רשתות חברתיות או דוא"ל. על המשתמשים גם לזהות ולבדוק בקפידה את פרטי החשבון של מחליף קודי ה-QR; לסקור בקפידה את תוכן האתר שאליו מוביל קוד ה-QR; לבדוק את הקישור כדי לראות אם הוא מתחיל ב-"https" והוא שם מתחם מוכר. בנוסף לכך, מומלץ למשתמשים גם לא למסור מידע אישי כגון חשבונות כניסה לבנק, חשבונות ברשתות חברתיות. להשתמש במנהלי סיסמאות, אימות דו-שלבי ושיטות הגנה אחרות עבור חשבונות.

עבור יחידות וארגונים המספקים קודי QR, נציג מחלקת אבטחת המידע הציע כי בפעילותם, עליהם לשים לב לאזהרות ותעמולה למשתמשים, לדוגמה, בנקים הזהירו לאחרונה את הלקוחות. סוכנויות ויחידות המספקות קודי QR צריכות גם הן להמציא במהירות פתרונות לאימות עסקאות עם סימנים חריגים. במקביל, יש לבדוק באופן קבוע את קודי ה-QR המוצבים במקום האספקה.