Oszustwo, o którym się nie mówi - trudno je wykryć i jest groźne

Oszustwo na kody QR jest znane od lat, ale ostatnio mocno zyskuje na popularności. Firma Cofense ostrzega o dużej kampanii phishingowej, której celem były amerykańskie przedsiębiorstwa. Problem w tym, że pracownicy firm nie zawsze wiedzą, jak unikać podobnych oszustw i ryzykują poważnymi konsekwencjami.

Oszustwo na kody QR to właściwie rodzaj phishingu, ale w sprytniejszej, trudniej wykrywalnej formie. Z tego też powodu przygotowano nawet specjalne określenie takich oszustw – QRishing.

W ostatnich miesiącach widać nasilenie tego typu ataków. Firma Cofense informuje nawet o dużej kampanii phishingowej wykorzystującej kody QR, której celem padły amerykańskie przedsiębiorstwa.

Dalsza część artykułu pod materiałem wideo

Zasada działania oszustwa na kod QR nie jest specjalnie skomplikowana, ale może być podchwytliwa dla mniej doświadczonych osób. Szczególnie, że bardzo często nie mówi się o nim przy omawianiu podstawowych zasad bezpieczeństwa.

W przypadku omawianej kampanii przestępcy wysyłali sfałszowane wiadomości e-mail, które zachęcały do zeskanowania kodu QR. W teorii miało chodzić o procedury bezpieczeństwa i włączenie weryfikacji 2FA. Taka argumentacja mogła poprawić wiarygodność informacji.

Problem w tym, że link z kodu QR był sprytnie ukryty - oszuści zastosowali link z przekierowaniem przez domenę Bing.com, ciąg znaków istotny dla działań marketingowych i dopiero na końcu umieścili adres e-mail i link do strony docelowej (i to zakodowany w Base64).

Firmę Cofense ostrzega, że w ostatnim czasie widać nasilenie kampanii z oszustwami na kody QR. Co prawda dokładne zmierzenie skuteczności kampanii właściwie jest niemożliwe, ale w ostatnich miesiącach takich e-maili przybywa - w maju zanotowano wzrost o 270 proc. w ujęciu miesiąc do miesiąca, w czerwcu było to aż 500 proc, a w lipcu 155 proc. Ciągle mówimy o wzroście zgłoszeń.

Pracownicy bardzo często nie mają świadomości kampanii phishingowych wykorzystujących kod QR (znacznie częściej ostrzega się przed klikaniem w zwykłe linki, ale pomija się "otwieranie" linków zakodowanych w kodach QR). Dodatkowe przekierowanie może zmylić czujność użytkowników i uwiarygodnić wiadomość oszustów. Kliknięcie w złośliwy link może narazić firmę na niebezpieczeństwo, ułatwić kradzież poufnych informacji czy po prostu wyczyścić nam konto z oszczędności.

Przede wszystkim powinniśmy zachować ostrożność. Zasady bezpieczeństwa bardzo często ostrzegają przed klikaniem w linki, ale zwykle już nie poruszają kwestii skanowania linków zakodowanych w kodach QR (a zasada działania jest tutaj bardzo podobna).

Kampanie wykorzystujące kody QR mogą pojawić się w najróżniejszych sytuacjach. Niedawno pisaliśmy o oszustwie na parkomaty, gdzie umieszczono fałszywe kody QR z podstawionymi linkami do płatności. Łatwość użycia kodów QR upraszcza wiele spraw, ale może ograniczać naszą czujność.