Quishing: Ce este, cum funcționează și cum să vă protejați de escrocheriile cu coduri QR

  • Quishing-ul este o escrocherie sofisticată care folosește coduri QR malițioase pentru a fura date personale și financiare.
  • Atacurile de tip quishing exploatează încrederea pe scară largă și utilizarea codurilor QR în viața de zi cu zi, atât în ​​spațiile fizice, cât și în cele digitale.
  • Prevenirea necesită prudență, utilizarea unor aplicații de scanare securizate, verificarea activă a originii codurilor QR și instruire continuă în domeniul securității cibernetice.
Lorena Figueredo

Minute 3

Escrocherii cu coduri QR: Quishing

În prezent, integrarea Coduri QR În viața noastră de zi cu zi, codurile QR au revoluționat modul în care accesăm informații, plătim pentru servicii și interacționăm cu unitățile. De la restaurante, magazine și bănci până la campanii de marketing, codurile QR au simplificat multe procese. Cu toate acestea, aceeași popularitate a deschis ușa către o nouă amenințare în lumea criminalității cibernetice: quishing, numit si Phishing-ul codurilor QR.

Infractorii cibernetici și-au dezvoltat tehnicile, profitând de încrederea acordată acestor coduri și de obiceiul de a le scana aproape automat. Astfel, ciufulind Este stabilită ca o formă de fraudă extrem de eficientă, care poate duce la furtul de informații personale, acreditări bancare, instalare de programe malware, furt de identitate și pierderi economice de o gravitație semnificativă.

Ce este quishing-ul și cum apare această amenințare?

Phishing: Contextul quishing-ului

El ciufulind este o tehnică a Phishing Această înșelătorie folosește tehnologia codurilor QR pentru a direcționa victimele către site-uri web rău intenționate sau pentru a efectua acțiuni frauduloase fără ca acestea să își dea seama. Termenul provine din combinația dintre „QR” și „phishing”, evidențiind relația sa directă cu înșelăciunea digitală tradițională, dar adaptată unui canal de încredere și utilizat pe scară largă.

În timp ce phishing-ul clasic se bazează pe linkuri rău intenționate trimise prin e-mail sau mesaje text, quishing-ul duce amenințarea la un alt nivel: utilizatorul trebuie scanează un cod QR cu dispozitivul mobil, ceea ce face ca escrocheria să fie mai dificil de identificat și blocat, mai ales că adresa URL sau destinația sunt dezvăluite abia după scanare.

Popularitatea codurilor QR a apărut inițial din nevoia de a digitaliza procedurile și de a evita contactul fizic, așa cum s-a observat în timpul pandemiei. Cu toate acestea, acestea sunt acum o parte integrantă a meniurilor, facturilor, campaniilor publicitare și sistemelor de plată, ceea ce le face ușor de plasat de către infractorii cibernetici atât în ​​mediile online, cât și în cele fizice.

Cum funcționează quishing-ul? Etape și metode utilizate

Cum funcționează escrocheriile de tip quishing

Quishing-ul funcționează într-un mod sofisticat, dar eficient. Etapele implicate într-un atac sunt, în general:

  1. Crearea codului QR malițios: Infractorul cibernetic generează un cod QR care direcționează către o adresă URL frauduloasă, pretinzând adesea că este o pagină legitimă, cum ar fi o bancă, o companie, un portal de plăți sau un sondaj de stimulare. Poate fi chiar legat de descărcare de programe malware sau aplicații periculoase.
  2. Distribuirea codurilor QR: Codul poate fi imprimat și amplasat în spații publice - parcometre, restaurante, benzinării, stații de transport în comun, postere, pliante sau promoții - sau trimis digital prin e-mail, mesaje text, mesagerie instantanee sau rețele sociale, camuflat în comunicări aparent legitime.
  3. Capturarea victimei: La scanarea codului, utilizatorul este redirecționat către un site web care pare autentic sau care încurajează acțiunea (promisiuni de premii, plăți în așteptare, mesaje presupus urgente etc.).
  4. Solicitați informații sensibile: Site-ul solicită acreditări, informații personale sau bancare; în alte cazuri, inițiază direct o descărcare de malware.
  5. Consecințe: Datele introduse ajung în mâinile escrocului, care le poate folosi pentru a efectua tranzacții neautorizate, phishing, goli conturi bancare sau vinde informațiile pe dark web. Uneori, utilizatorul nici măcar nu își dă seama că furtul a avut loc până nu a suportat deja consecințele.

Principala caracteristică care face ca quishing-ul să fie periculos este că URL-ul ascuns în spatele codului QR nu este vizibil înainte de scanare, ceea ce îngreunează detectarea fraudelor. Atacatorii exploatează adesea trucuri de inginerie socială, cum ar fi generarea de urgență, oferirea de beneficii irezistibile sau înlocuirea organismelor oficiale și a serviciilor cunoscute.

Ce este QRishing și cum să-l evitați-4
Articol asociat:
QRishing: Ce este, cum să recunoști înșelătoria cu cod QR și cum să eviți să devii victimă

Principalele scenarii și variante ale atacurilor de quishing

Scenarii și variante în atacurile de Quishing

  • Coduri QR în locuri publice: Atacatorii plasează autocolante cu coduri QR frauduloase peste cele originale la benzinării, parcometre, mese din restaurante sau case de marcat. După scanare, victima este direcționată către un site fals pentru a introduce informații bancare sau a efectua plăți.
  • E-mailuri sau mesaje rău intenționate: Se trimit comunicări care includ coduri QR, care uzurpă identitatea unor mărci, instituții financiare sau chiar agenții guvernamentale. Utilizatorii sunt convinși să le scaneze și să rezolve o situație urgentă sau să acceseze o promoție.
  • Facturi și notificări poștale sau digitale: Exemple recente includ coduri QR false care redirecționează către site-uri web frauduloase care se prefac a fi agenții de recuperare a creanțelor, bănci sau servicii publice.
  • Escrocherii cu promovare și sondaje: Coduri din reclame, concursuri sau campanii comerciale care promit premii sau reduceri în schimbul colectării de date cu caracter personal.
  • Atacuri în mediul de afaceri: Angajații primesc coduri QR în e-mailurile de serviciu sau personale și le scanează cu dispozitive neprotejate, permițând accesul la rețelele corporative în cazul în care datele de autentificare sunt divulgate.
  • QRLJacking: O tehnică avansată în care atacul vizează sistemele de autentificare prin coduri QR. Prin clonarea și manipularea codurilor de autentificare legitime, infractorii cibernetici pot deturna sesiunile și iniția acces neautorizat la conturi personale sau corporative.

Cazurile reale au arătat pierderi substanțiale Din cauza acestor metode, utilizatorii au pierdut mii de euro după ce au scanat coduri QR manipulate la parcometre, portaluri de plată sau campanii de loterie false. Creșterea acestor incidente a dus chiar la eliminarea codurilor QR din anumite servicii publice din motive de securitate.

Riscuri, consecințe și de ce este atât de eficientă interceptarea argumentelor

Riscurile de anulare și consecințele

Eficacitatea quishing-ului constă în mai multe aspecte:

  • Lipsa vizibilității anterioare: URL-ul nu poate fi verificat înainte de scanare; este dezvăluit doar după scanare, iar mulți utilizatori îl deschid automat.
  • Protecție redusă pe dispozitivele mobile: Telefoanele mobile sunt adesea mai puțin sigure decât computerele și utilizează conexiuni la rețele publice și aplicații vulnerabile.
  • Dificil de detectat de sistemele de securitate: Filtrele de e-mail, programele antivirus și alte măsuri tradiționale tratează adesea codurile QR ca imagini inofensive; programele malware și linkurile încorporate periculoase se strecoară adesea printre nevinovați.
  • Inginerie socială și manipulare emoțională: Atacatorii apelează la urgență, frică sau stimulente pentru a provoca un răspuns rapid și nechibzuit.

Las consecințele cele mai frecvente iar riscurile serioase de a fi victimă a quishing-ului includ:

  • Pierderi economice: Tranzacții bancare neautorizate, ștergeri de conturi, achiziții frauduloase sau împrumuturi contractate pe numele victimei.
  • Furtul de identitate: Furtul de identitate prin utilizarea datelor cu caracter personal obținute din formulare false.
  • Scurgere masivă de informații personale: Date vândute sau utilizate în alte campanii de criminalitate cibernetică (de exemplu, acces la rețele sociale, conturi de e-mail etc.).
  • Instalare malware: Descărcarea neintenționată a unor aplicații rău intenționate capabile să fure mai multe date, să spioneze utilizatorul sau să blocheze dispozitivul (ransomware).
  • Daunele reputaționale în companii: Dacă o companie cade victimă uzurpării identității sau clienții săi cad pradă acestor escrocherii, se confruntă cu pierderea încrederii și cu deteriorarea reputației sale.
17 cereri frauduloase
Articol asociat:
Cele 17 aplicații frauduloase pe care ar trebui să le eliminați acum de pe Android: Ghid complet despre amenințări și cum să vă protejați telefonul

Cum să identifici și să previi un atac de quishing

Identificați și preveniți un atac de quishing

  • Verificați sursa codului QR: Nu scanați niciodată coduri QR din surse dubioase sau neidentificate, din locații sau e-mailuri neobișnuite sau de pe suporturi de date prost conservate (cum ar fi autocolantele de pe originale sau documente cu o calitate slabă a imprimării).
  • Previzualizare URL: Multe cititoare de coduri QR afișează adresa URL înainte de a o deschide. Verificați dacă adresa este legitimă, începe cu https și nu conține greșeli de ortografie sau domenii necunoscute.
  • Verificați contextul: Un cod QR într-o locație neașteptată sau care solicită informații confidențiale ar trebui să ridice suspiciuni. Contactați compania, banca, entitatea oficială sau expeditorul comunicării direct, utilizând canalele oficiale, înainte de a introduce orice date.
  • Nu introduceți informații sensibile după scanarea unui cod QR: Dacă site-ul web redirecționat solicită parole, detalii bancare sau alte informații sensibile, opriți-vă și verificați autenticitatea acestuia.
  • Atenție la mesajele urgente sau la stimulentele exorbitante: Mesajele care promit recompense imediate, reduceri exagerate sau presiuni pentru a acționa urgent sunt adesea frauduloase.
  • Uitați-vă la prezența mărcilor, logo-urilor și designului: Site-urile false au adesea mici erori în logo, text, tipografie sau domeniu.
  • Verificarea fizică a codurilor QR în spații publice: Înainte de scanare, verificați dacă codul QR arată ca un autocolant plasat deasupra unui original sau prezintă semne de manipulare.

Măsuri de protecție și cele mai bune practici împotriva quishing-ului

Cum să vă protejați de escrocheriile cu coduri QR

  • Folosește aplicații de scanare securizate: Alegeți cititoare de coduri QR cu funcții de previzualizare a URL-ului și analiză în timp real, cum ar fi cele explicate în Configurați WhatsApp împotriva escrocilor.
  • Țineți-vă software-ul actualizat: Mențineți sistemul de operare și aplicațiile dispozitivului actualizate, inclusiv cititoarele de coduri QR și antivirusul. Cele mai recente versiuni includ patch-uri de securitate împotriva noilor amenințări.
  • Configurați și utilizați autentificarea cu doi factori (2FA): Activați autentificarea multiplă ori de câte ori este posibil pentru conturile bancare, e-mail și site-uri web importante. Acest lucru reduce impactul unei scurgeri de acreditări dacă sunteți prins într-o escrocherie.
  • Implementați manageri de parole puternici: Acestea facilitează gestionarea parolelor securizate și minimizează riscul reutilizării cheilor compromise.
  • Evitați descărcarea de aplicații sau fișiere din coduri QR necunoscute: Nu acceptați niciodată instalarea aplicațiilor sugerate după scanarea unui cod QR dacă acestea nu provin din surse oficiale.
  • Prefer să scriu URL-urile manual: Dacă aveți întrebări, introduceți manual adresa site-ului în browser în loc să urmați linkul codului QR.
  • Conștientizare și instruire: Rămâi la curent cu cele mai recente tactici de quishing și phishing, participă la campanii de educație în domeniul securității cibernetice și distribuie aceste informații familiei, colegilor și prietenilor.
Mesaje Google și inteligența artificială
Articol asociat:
Google Messages și inteligența artificială: Cum revoluționează Android protecția împotriva fraudelor în timp real

Organizațiile trebuie, de asemenea, să consolideze protecția angajaților și clienților lor prin:

  • Educație continuă în domeniul securității cibernetice și inginerie socială, cu exemple practice de quishing.
  • Implementarea scanerelor de e-mail capabil să analizeze imagini și să detecteze coduri QR suspecte.

Exemple reale și cazuri remarcabile de quishing

Amenințarea la care se recurge nu este o amenințare teoretică: numeroase cazuri au fost documentate la nivel mondial. De exemplu:

  • În Elveția, au fost trimiși scrisori false cu coduri QR pretinzând că provin de la agenții oficiale, redirecționând utilizatorii către site-uri frauduloase unde erau sustrase datele de autentificare bancară.
  • În Anglia, o victimă a pierdut 17.000 de dolari după ce a scanat un cod QR fals plasat pe parcometru și a fost ulterior manipulată să solicite un împrumut pe numele său.
  • În Spania, au fost raportate escrocherii în parcări, benzinării și în cadrul concursurilor sau campaniilor promoționale în care codul QR direcționează către pagini care uzurpă identitatea unor companii sau instituții.

Aceste exemple demonstrează sofisticarea și severitatea practicilor de quishing, precum și necesitatea de a da dovadă de o prudență extremă și de a rămâne în permanență informați și alerți.

Întrebări frecvente despre Quishing și coduri QR

Este sigur să scanezi orice cod QR?
Nu. Deși majoritatea sunt legitime, unele pot duce la site-uri frauduloase sau pot iniția descărcări de programe malware. Folosiți aplicații sigure și verificați întotdeauna sursa înainte de scanare.

Cum să-ți dai seama dacă un cod QR este rău intenționat?
Nu este ușor de identificat cu ochiul liber. Fiți atenți la codurile QR din locații ciudate, suspecte sau fără o explicație clară a scopului lor. Dacă adresa URL arată ciudat după scanare, conține greșeli de scriere sau promite beneficii neobișnuite, nu continuați.

Ce fac dacă am scanat un cod QR suspect?
Închideți pagina imediat. Nu introduceți nicio informație personală. Rulați o scanare cu antivirusul și schimbați parolele dacă credeți că ați fost victima unui atac de tip phishing.

Poate un cod QR să instaleze automat viruși pe telefonul meu?
Codul QR în sine nu instalează viruși, dar vă poate redirecționa către site-uri care descarcă programe malware sau vă încurajează să instalați aplicații rău intenționate. Nu acceptați niciodată descărcări de pe site-uri suspecte după scanarea unui cod QR.

Quishing-ul afectează doar telefoanele mobile?
Nu. Poate afecta orice dispozitiv capabil să scaneze coduri QR și să se conecteze la internet, cum ar fi tablete, laptopuri și computere desktop.

Ce trebuie să faci dacă ai fost victima unui quishing?

  • Nu mai introduceți date personale. dacă site-ul o solicită și închide imediat fereastra.
  • Scanați dispozitivul cu antivirusul actualizat pentru a scana în căutare de programe malware sau aplicații neautorizate.
  • Schimbați parolele serviciile despre care credeți că datele ar fi putut fi compromise.
  • Contactați banca dvs sau entitatea afectată să alerteze cu privire la posibile mișcări frauduloase.
Beneficiile utilizării WeChat1
Articol asociat:
Beneficii cheie, avantaje și funcții complete ale WeChat: Super-aplicația supremă

Instrumente și resurse utile pentru a vă proteja de quishing

  • Aplicații securizate de scanare a codurilor QR: Căutați aplicații cu funcții de previzualizare a adreselor URL și analiză în timp real, precum cele explicate în .
  • Antivirus pentru mobil și desktop: Acestea vă protejează dispozitivul împotriva amenințărilor prin detectarea descărcărilor sau instalărilor suspecte.
Cum se interpretează noua etichetare energetică pentru smartphone-uri și tablete
Articol asociat:
Cum se interpretează noua etichetare energetică pentru smartphone-uri și tablete: un ghid complet pentru înțelegerea fiecărei secțiuni

Quishing-ul este una dintre cele mai periculoase amenințări emergente din peisajul digital actual. Creșterea sa se datorează încrederii oarbe pe care o acordăm codurilor QR și ingeniozității atacatorilor, care profită atât de digitalizare, cât și de viața fizică de zi cu zi pentru a-și implementa înșelăciunile. Protejarea necesită combinarea... tehnologice, bunul simț și instruire continuăEvitarea expunerii inutile a datelor cu caracter personal și partajarea celor mai bune practici cu comunitatea dvs. reprezintă cea mai bună apărare împotriva unei probleme care, departe de a se diminua, continuă să crească. Verificați întotdeauna cu prudență și amintiți-vă că securitatea depinde în mare măsură de propriile obiceiuri.