Остерегайтесь мошенничества с QR-кодами: изощренные уловки и как их избежать
Фишинг с использованием QR-кодов (также известный как квишинг) — это сложная угроза кибербезопасности, при которой хакеры скрывают вредоносные ссылки внутри QR-кодов, чтобы украсть личную информацию или распространить вредоносное ПО на ваше устройство.
QR-коды (коды быстрого реагирования) сегодня можно встретить повсюду: в меню ресторанов, на рекламных щитах, на счетах, в расписаниях автобусов и поездов.
Сканирование QR-кодов стало распространённой привычкой, позволяя пользователям быстро получать доступ к информации, выполняя всего лишь одно действие на телефоне. Однако это удобство стало палкой о двух концах: киберпреступники используют привычку беспорядочного сканирования QR-кодов для реализации нового вида мошенничества, известного как «квишинг».
Преступники могут вставлять вредоносные QR-коды в знакомые поверхности или отправлять их по электронной почте или в текстовом сообщении, чтобы заставить жертву отсканировать код и посетить поддельные веб-сайты, тем самым похищая личную информацию или распространяя вредоносное ПО на устройстве.
Что такое квишинг?
Квишинг (мошенничество с QR-кодами) — это форма кибератаки, при которой злоумышленник встраивает вредоносный URL-адрес веб-сайта в QR-код, чтобы обманом заставить пользователей посетить поддельные веб-сайты.
Вместо того чтобы вести на законный веб-сайт, этот QR-код может перенаправить вас на фишинговый сайт, предназначенный для кражи логинов, паролей и личных данных.
Или скрытно загрузить вредоносное ПО на ваше устройство, что позволит хакерам получить контроль, украсть данные или перенаправить их на веб-сайты с опасным контентом.
Хотя это может показаться простым, кишинг представляет собой реальную опасность. Вы можете проверить URL-адрес, прежде чем кликнуть по нему при просмотре веб-страниц, но с QR-кодом вы понятия не имеете, что скрывается внутри. Просто отсканировав его, вы можете попасть на поддельный сайт или быть вынуждены скачать опасный файл, даже не подозревая об этом.
Более того, пользователей легко обмануть QR-кодами, поскольку они появляются повсюду: от ресторанов, кафе до билетов на мероприятия и рекламы, заставляя людей сканировать их без подозрений.
Кроме того, многие компании используют сторонние сервисы сокращения URL-адресов или платформы для генерации QR-кодов. Это означает, что встроенная в QR-код ссылка не всегда ведёт напрямую на их официальный сайт, что затрудняет определение безопасности QR-кодов.
Кушинг — это не просто потенциальная угроза, это случалось в реальной жизни и доказало свою высокую эффективность как вид мошенничества.
Поддельные QR-коды используются для мошенничества по всему миру. Киберпреступники просто печатают наклейку с вредоносным QR-кодом и наклеивают её поверх настоящего QR-кода в общественных местах, таких как рестораны, парковки, вокзалы и т. д.
Как защитить себя от квишинга?
Кушинг становится всё более изощрённой угрозой, но вы можете защитить себя с помощью простых, но эффективных мер. Вот несколько ключевых шагов, которые помогут вам не стать жертвой этого вида мошенничества:
1. Используйте безопасный сканер QR-кодов.
Отдайте предпочтение сканеру QR-кодов по умолчанию, который есть в вашем телефоне (например, камере на iOS и Android).
Избегайте загрузки приложений для сканирования QR-кодов от третьих лиц, поскольку многие из этих приложений имеют плохую репутацию в плане безопасности и конфиденциальности, могут собирать данные или даже содержать вредоносный код.
2. Проверьте URL-адрес перед открытием ссылки.
После сканирования кода просмотрите адрес веб-сайта, прежде чем кликнуть.
Избегайте ссылок, использующих сервисы сокращения URL-адресов (например, bit.ly, tinyurl, goo.gl), поскольку злоумышленники могут скрыть реальный адрес фишингового сайта.
3. Ограничьте использование QR-кодов для оплаты.
По возможности избегайте оплаты с помощью QR-кода, особенно если он опубликован в общественном месте. Если ссылка для оплаты ведёт на сомнительный веб-адрес или не относится к официальному банку/приложению, немедленно прекратите использование QR-кода.
Остерегайтесь поддельных сайтов, поскольку киберпреступники часто используют доменные имена, очень похожие на настоящие сайты (например, paypall.com вместо paypal.com). Всегда проверяйте орфографию перед вводом конфиденциальной информации.
4. Не сканируйте случайные QR-коды в общественных местах.
Избегайте сканирования QR-кодов, которые размещены на рекламных щитах, листовках или наклейках на платежных терминалах, поскольку они могут быть заменены вредоносным кодом.
Если вам необходимо отсканировать QR-коды в общественных местах, попросите персонал подтвердить подлинность кода.
5. Повысьте безопасность вашего устройства
Отключите автоматические загрузки в вашем веб-браузере, чтобы предотвратить загрузку вредоносного ПО при посещении фишинговых сайтов.
Включите функции конфиденциальности, такие как блокировка небезопасных веб-сайтов или предупреждения при посещении подозрительных веб-сайтов.
6. Дважды проверьте физический QR-код перед сканированием.
Внимательно посмотрите на QR-код, который собираетесь отсканировать. Если он выглядит перезаписанным, отредактированным или не соответствует дизайну вокруг, не сканируйте его.
Если вы видите наклейку с QR-кодом на платежном терминале или в общественном месте, проверьте ее на наличие признаков подделки и попросите сотрудника проверить.
Короче говоря, киберпреступники становятся всё более изощрёнными в создании атак типа «Quishing». Всегда будьте бдительны, дважды проверяйте URL-адрес веб-сайта перед переходом по нему и избегайте сканирования QR-кодов из ненадёжных источников, чтобы защитить свои личные и финансовые данные.
