Óvakodj a rosszindulatú QR-kódos csalásoktól

Az Egyesült Államok Szövetségi Kereskedelmi Bizottsága (FTC) óvatosságra inti az embereket, amikor furcsa e-maileket vagy üzeneteket kapnak, amelyek QR-kódok beolvasására kérik a felhasználókat, mivel szokatlan jeleket találhatnak a fiókjaikban, vagy problémák lehetnek a kézbesítési megrendeléseikkel. Ezek a rosszindulatú QR-kódok hamis weboldalakra irányítják át a felhasználókat, amelyek személyes adatokat lopnak el.

Kern Smith, a Zimperium mobilbiztonsági cég alelnöke szerint a telefonokat célzó támadások száma exponenciálisan növekszik, mivel sok vállalat adathalász elleni rendszere nincs felszerelve a hamis QR-kódok megállítására.

A QR-kód alapú támadások nem újdonságok, de a rosszfiúk egyre inkább alkalmazzák ezt a kifinomult taktikát – mondta Shyava Tripathi, a Trellix kiberbiztonsági cég kutatója. A Trellix csak 2023 harmadik negyedévében több mint 60 000 rosszindulatú QR-kód mintát észlelt.

Texas (USA) több városában is találtak a rendőrök parkolóórákon elhelyezett hamis QR-kódokat, amelyek egy hamis fizetési weboldalra mutatnak. Amikor a felhasználók fizetnek, a pénz a csaló számlájára kerül, és fennáll a bejelentkezési adatok ellopásának veszélye.

A The Independent szerint egy 71 éves brit nő 13 000 fontot veszített, miután bankkártyaadatai kiszivárogtak egy hamis QR-kód beolvasása után. Bár a bank, amelyet használt, blokkolt egy sor csalárd tranzakciót, a csaló továbbra is hívogatta az áldozatot, egy banki alkalmazottnak adta ki magát, és meggyőzte, hogy adjon meg további információkat. Miután sikeresen ellopta az adatokat, a csaló új számlát hozott létre, hogy pénzt kölcsönözzön, és hitelkártyát hozzon létre az áldozat személyazonossága alatt.

Steve Jeffery, a Fortra globális kiberbiztonsági és automatizálási vállalat mérnöke elmondta, hogy a legtöbb e-mail biztonsági rendszer nem ellenőrzi a QR-kódok tartalmát, ami megnehezíti az adathalász támadások megelőzését. Közvetlen linkek küldése helyett a rosszfiúk QR-kódokon keresztül küldenek linkeket.

A Reliaquest biztonsági és kockázatkezelő cég jelentése szerint a QR-kóddal kapcsolatos csalások száma szeptemberben 51%-kal nőtt az előző nyolc hónaphoz képest. A megugrás az okostelefonok népszerűségének és a felhasználók QR-kódok beolvasásakor tapasztalható éberségének köszönhető.

A The Verge szerint az FTC azt javasolja a felhasználóknak, hogy rendszeresen frissítsék eszközeiket, hozzanak létre erős jelszavakat, és állítsanak be többtényezős hitelesítést a fontos fiókokhoz. A felhasználóknak nem szabad QR-kód-olvasó alkalmazásokat letölteniük, mert az Android és iOS kameraalkalmazása beépített funkcióval rendelkezik. A felhasználóknak a hivatkozás nevét is gondosan ellenőrizniük kell kattintás előtt, mert a rosszfiúk felcserélhetik az eredeti névtől eltérő betűket.