QRishing je oblik phishing napada gdje hakeri iskorištavaju QR kodove kako bi ukrali privatne podatke, instalirali zlonamjerni softver na vaš uređaj ili preusmjerili osobu na nesigurnu web stranicu.
Pitanje je – kako ovi napadi funkcioniraju i kako možete izbjeći da postanete žrtva QRishing napada?
Što je “QRishing”?
QRishing iskorištava tendenciju ljudi da skeniraju QR kodove iz znatiželje, dosade ili nužde.
Na primjer, “napadač” (haker) može ostaviti letke na autobusnoj stanici ili na stolovima u restoranima ili kafićima. Kada osoba skenira QR kod svojim telefonom, misleći da se radi o reklami ili jelovniku.
Tada se prevaranti oslanjaju na “društveni inženjering” (engl. Social Engineering) kako bi prevarili žrtve da podijele osjetljive informacije s njima. Hakeri također mogu iskoristiti ranjivosti poput WebKit bugova u web pregledniku kako bi preuzeli kontrolu nad tuđim uređajem.
Kako “QRishing” funkcionira?
Naravno, ne bi svaka osoba skenirala nasumični QR kod bez poticaja ili natpisa koji objašnjava što mogu očekivati kada skeniraju isti. Stoga kibernetički kriminalci često pronađu drugi način da zainteresiraju ljude. Kako? Ovako.
1) Promijene popularne ili pouzdane QR kodove
Kibernetički kriminalci mogu uzeti letak od, recimo, popularne financijske institucije, vladine agencije ili trgovačkog lanca. Sigurno ste ih vidjeli u životu. Često se takvi letci dijele po gradu ili trgovačkim centrima. Zatim mijenjaju QR kod koji se nalazi na samom letku, ali zadržavaju druge detalje ili dizajn. Zatim ih dijele fizički kao što smo maloprije opisali. Ili ih dijele u digitalnom obliku s lažnih korisničkih računa po društvenim mrežama.
Također, ih mogu objaviti na javnim mjestima gdje ljudi mogu vidjeti i skenirati QR kod. O ovom “triku” se posebno izvještavalo nakon što je oglas Coinbasea i skeniranje QR koda na Super Bowlu 2022. postao viralan.
2) Zalijepe lažne letke s QR kodom
U ovom slučaju, kibernetički kriminalci mogu izraditi lažne letke s QR kodom stvorenim za preusmjeravanje ljudi koji ih skeniraju na web stranice gdje napadač može ukrasti njihove podatke. Čak i ako ovaj pokušaj ne uspije, napadač može prikupiti podatke o uređaju i lokaciji iz žrtvina preglednika. Što je još gore, odlučan napadač mogao bi upotrijebiti digitalne otiske prstiju (“digital fingerprints”) preglednika za praćenje žrtve na Internetu.
3) QR kod u lažnim e-mailovima
Ovaj oblik QRishinga dio je uobičajenih metoda krađe identiteta putem e-maila. Za razliku od skraćenih linkova, prelaskom miša iznad QR koda ne prikazuje se odredišni URL, tako da je, na primjer, prevarantu lako reći potencijalnoj žrtvi da skenira QR kod za priliku osvojiti darovnu karticu ili nešto slično tome. Možda se čini da će ljudi to ignorirati i samo obrisati mail, ali postoji dio onih koji će “nasjesti” na ovu prevaru.
Kako izbjeći “QRishing”?
Za skeniranje i čitanje QR koda uglavnom su potrebne dvije stvari: kamera i web preglednik koji učitava informacije iz QR koda. To u biti znači da je jednostavno izbjeći ovu situaciju.
1) Onemogućite skeniranje QR kodova na mobitelu
Mnogi od nas gotovo konstantno u ruci imaju mobitel kako bi mogli odgovoriti na poruke, pogledati što se događa na društvenim mrežama ili “okinuti” pokoji selfie. Takvo “ponašanje” je danas razumljivo. Ali uvijek aktivirana (i dostupna) kamera može vam olakšati skeniranje QR koda bez razmišljanja.
Ono što možete napraviti je isključiti mogućnost skeniranja QR kodova na telefonu. Ako koristite iPhone, odite u Postavke (Settings) -> Kamera (Camera) -> Skeniranje QR kodova (Scan QR code) i samo isključite ovu opciju. Ista stvar je i na Androidu.
Lakše je upaliti ovu opciju kada vam zatreba, nego ju uvijek imati dostupnu. Lakše je napraviti “grešku” kada ne razmišljate i samo skenirate QR kod. Ovako ćete prilikom paljenja dotične opcije razmisliti želite li skenirati QR kod ili ne.
2) Redovno ažurirajte softver
Hakeri mogu iskoristiti ranjivosti softvera u vašim aplikacijama ili operativnom sustavu telefona bez vašeg znanja. Na primjer, hakeri mogu iskoristiti sigurnosne propuste WebKita u vašem web pregledniku kako bi hakirali vaš telefon, tablet, pa čak i pametni sat. Zato je dobro razmisliti da uključite opciju automatskog ažuriranja operativnog sustava i aplikacija na uređajima koje koristite. Ista stvar vrijedi i za Android i Apple korisnike. Tako umanjujete šansu da imate staru verziju aplikacije koja ima određenu ranjivost koju su hakeri “iskoristili”. Ili staru verziju operativnog sustava. Ne izbacuju Apple I Google uzalud svako malo nove zakrpe za svoje OS-ove.
3) Izbjegavajte dijeljenje osjetljivih informacija online
Skeniranje QR koda može vas usmjeriti na web stranicu ili neku online formu gdje će se od vas tražiti da navedete informacije kao što su vaši osobni podaci, email, lozinka računa ili detalji kartice kako biste dobili priliku za osvajanje neke fiktivne nagrade.
Kao generalno pravilo, izbjegavajte dijeljenje osobnih podataka na Internetu. Osim rizika od hakiranja vašeg računa ili krađe novca, kibernetički kriminalci također mogu iskoristiti podatke koje ste podijelili s njima za krađu vašeg identiteta.
Uglavnom, budite jako “skeptični” kada morate unositi osobne podatke i unosite ih samo na provjerenim stranicama i što je manje/rjeđe moguće.
4) Razmislite prije skeniranja
Ne morate skenirati svaki QR kod koji vam se prikaže ili na koji naletite. Ostanite skeptični i suzdržite se od bespotrebnog skeniranja takvih stvari. U većini slučajeva možete provjeriti web-stranicu tvrtke ili jelovnik tako da ga prvo potražite na internetu. Ne treba vam QR kod za to.
QRishing: Manje uobičajena praksa, ali budite ispred hakera
QRishing je rjeđi od drugih vrsta phishinga jer bi napadač trebao uložiti malo više truda u distribuciju zlonamjernog QR koda. Međutim, ovaj oblik krađe identiteta i podataka je relativno nov i malo ljudi zna za njega, što znači da ljudi lako mogu nasjesti na njega. Zato budite upozoreni i pazite što skenirate.
Piše: Boris Plavljanić
