Efterhånden som QR-koder er blevet allestedsnærværende, har deres udbredelse givet anledning til nye og nye sikkerhedsrisici.
More than 80% of US-based QR code users said they think QR codes are safe, but only 37% of users could identify a malicious one, according to a recent report from Scantrust.
På grund af en sådan tillid og den udbredte anvendelse af QR-koder under COVID-19-pandemien involverer QRishing (en fusion af "QR" og "phishing") fremstilling af falske QR-koder, der leder intetanende brugere til ondsindede websteder, hvor der søges efter følsom information og udnyttet af cyberkriminelle. Denne trussel har blomstret på grund af social engineering-taktik – udnyttelse af brugertillid, allestedsnærværende QR-kodescanning og udfordringen med at skelne ægte koder fra svigagtige koder.
QRishing antager forskellige former, lige fra at anbringe falske QR-mærkater over legitime koder i kommercielle virksomheder til forfalskning af trafikbøder med vildledende QR-koder, der indsamler betalingsoplysninger eller følsomme data. Fidusen inkluderer også "omvendt QR", hvor cyberkriminelle narrer brugere til at foretage uautoriserede betalinger eller dele data via manipulerede QR-koder.
Succesen med QRishing afhænger af udnyttelsen af brugernes tillid og forlokkelsen ved falske rabatter. Ofre bliver ofte narret til at dele ondsindede QR-koder med deres kontakter, hvilket øger risikoen.
Meanwhile, “QRLjacking” poses a rising threat, targeting services, such as WhatsApp, that rely on QR codes for logins to gain unauthorized access and access sensitive information.
QR-svindel har global indflydelse
Raquel Puebla, cyber intelligence analyst at Entelgy Innotec Security, explains that QR attacks are executed all over the world. She points to a recent campaign in China in which attackers added fraudulent QR codes parking tickets left under windshield wipers.
Disse koder hævdede at lette betalingen af overtrædelsen, mens de faktisk indsamlede personlige oplysninger og bankoplysninger fra ofrene.
"I Tyskland var efterforskere i stand til at identificere en kampagne, hvor angribere gennem svigagtige e-mails indeholdende QR-koder kontaktede netbankkunder og indhentede følsomme oplysninger," siger hun.
A campaign recently affected the public transport services BiciMAD and Bicing in Madrid, Spain, in which fraudulent QR codes were attached to the bicycles of these services, she adds.
"De så ud til at udgøre en service med at låse cyklen op i bytte for et bestemt pengebeløb," siger hun. "I stedet for at låse transporten op, gik pengene i hænderne på cyberkriminelle."
Mobiltelefoner er mindre beskyttede
Patrick Harr, CEO at SlashNext, points out that QR codes are a convenient way to spread mobile-based phishing campaigns and that many mobile phones do not have phishing protection.
"Mange virksomheder, der tilbyder QR-kode og kortkodeoprettelse, har sikkerhed for at forhindre hackere i at bruge deres tjeneste til at skabe ondsindede QR-koder," siger han. "Der er dog stadig mange tjenester, som hackere kan bruge, så det er vigtigt at have mobilbeskyttelse mod ondsindede links."
Mobile phones provide bad actors with access to corporate accounts, banking information, and other personal data, he adds.
In addition to sending users to websites that phish deres legitimationsoplysninger, attack their devices with client-side exploits, or entice them to download malicious apps, techniques such as QRLJacking allow attackers to perform account hijacking for apps that use a QR code for login, says Georgia Weidman, security architect at Zimperium.
“There are many legitimate uses for QR codes — in fact, many [multifactor authentication] apps use them for setup, and we all know the value MFA lends to keeping our accounts secure,” she says. “However, there is no message authentication code or otherwise in QR codes to verify that an attacker hasn’t replaced your organization’s QR code with a malicious one.”
Adds Harr: “It’s important for organizations to have mobile protection against malicious links because, given the proliferation of QR codes in our daily life, it’s becoming impractical to avoid them completely.”
Træn folk til at parere QR-angreb
Itxaso Reboleiro, cyberintelligensanalytiker hos Entelgy Innotec Security, siger, at bevidsthed altid er udgangspunktet for at afværge et cyberangreb, der bruger social engineering taktik.
“Companies should establish small training sessions and bulletins in which employees are kept abreast of the latest developments in cyber threats,” she says.
I tilfælde af QRishing bør organisationer råde medarbejdere til ikke at scanne QR-koder indsat i e-mails af tvivlsom oprindelse eller postet tilfældige steder, such as public roads because cybercriminals take advantage of busy places to capture a greater number of victims.
QR readers can show users the URL of a website before taking them there, Reboleiro explains.
“In this way, employees can be sure of the content hosted by the redirect before accessing the content or entering sensitive information,” she says.
Users should immediately close the website if, after scanning a QR code, they notice that the pages displayed appear to be unrelated to the expected content, Reboleiro adds. They should not enter personal data or credentials into such sites, even if requested, either.
"Medarbejdere bør straks give deres ledere eller virksomhedens cybersikkerhedspersonale besked om at tage passende sikkerhedsforanstaltninger," siger hun.
Fra Weidmans perspektiv er den bedste plan at uddanne medarbejdere på sikkerhedsmæssige konsekvenser af QR-koder, so they are using their security awareness thinking caps while interacting with them in the wild. For example, the Open Web Application Security Project (OWASP) includes tekniske detaljer om, hvordan QRLJacking fungerer og måder at mindske risikoen for QRL-kodeangreb i apps.
"Hvis din organisation bruger QR-koder til godkendelse, er det vigtigt at være opmærksom på den slags angreb, som angribere bruger, og at implementere afbødningsstrategier for dem," siger Weidman.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/edge/qr-code-101-what-threats
- :har
- :er
- :ikke
- :hvor
- 7
- a
- I stand
- adgang
- Adgang
- Ifølge
- Konto
- Konti
- aktører
- tilføjet
- Desuden
- Tilføjer
- Vedtagelse
- Fordel
- rådgive
- Efter
- mod
- Alle
- tillade
- lokke
- også
- altid
- beløb
- an
- analytiker
- ,
- vises
- dukkede
- Anvendelse
- applikationssikkerhed
- passende
- apps
- ER
- AS
- At
- angribe
- Angreb
- Godkendelse
- undgå
- opmærksom på
- bevidsthed
- Bad
- Bank
- BE
- fordi
- bliver
- blive
- før
- BEDSTE
- travlt
- men
- by
- Kampagne
- Kampagner
- CAN
- caps
- fange
- tilfælde
- Direktør
- vis
- udfordre
- Kina
- hævdede
- Luk
- kode
- koder
- Indsamling
- kommerciel
- Virksomheder
- selskab
- fuldstændig
- udgøre
- kontakter
- indhold
- Praktisk
- Corporate
- kunne
- Counterfeit
- forfalskning
- Covid-19
- COVID-19-pandemi
- skabe
- skabelse
- Legitimationsoplysninger
- Kunder
- Cyber
- Cyber angreb
- cyberkriminelle
- Cybersecurity
- dagligt
- data
- detaljer
- udvikling
- Enheder
- rabatter
- vises
- do
- downloade
- grund
- i løbet af
- enten
- emails
- smergel
- medarbejdere
- Engineering
- Indtast
- indtastning
- etablere
- Endog
- eksempel
- udveksling
- henrettet
- forventet
- Forklarer
- Exploited
- udnytte
- exploits
- lette
- Faktisk
- falsk
- bøder
- Til
- formularer
- svigagtig
- fra
- fusion
- Gevinst
- ægte
- Tyskland
- få
- given
- Global
- større
- hackere
- hænder
- høst
- Have
- he
- hængsler
- hostede
- Hvordan
- Men
- HTTPS
- identificere
- if
- straks
- gennemføre
- implikationer
- vigtigt
- in
- omfatter
- oplysninger
- i stedet
- Intelligens
- interaktion
- ind
- Efterforskere
- IT
- jpg
- holde
- holdt
- Kend
- seneste
- seneste udvikling
- føre
- til venstre
- legitim
- mindre
- løftestang
- Livet
- ligesom
- links
- Logge på
- Se
- ligner
- Making
- Ledere
- manipuleret
- mange
- foranstaltninger
- besked
- MFA
- afbøde
- afbødning
- Mobil
- mobiltelefoner
- Monetære
- penge
- multifaktorgodkendelse
- multiplicere
- Ny
- ingen
- Varsel..
- nummer
- opnået
- of
- off
- tilbyde
- tit
- on
- ONE
- dem
- online
- netbank
- kun
- åbent
- or
- organisation
- organisationer
- oprindelse
- Andet
- Ellers
- vores
- ud
- i løbet af
- sider
- pandemi
- parkering
- Bestået
- betaling
- betalinger
- Mennesker
- Udfør
- personale
- Personlig data
- perspektiv
- Phishing
- telefoner
- Steder
- fly
- plato
- Platon Data Intelligence
- PlatoData
- Punkt
- punkter
- udgør
- forhindre
- projekt
- beskyttelse
- give
- offentlige
- QR code
- qr-koder
- tilfældig
- læsere
- nylige
- for nylig
- omdirigere
- stole
- udskiftes
- indberette
- vende
- Rise
- stigende
- Risiko
- risici
- s
- sikker
- Said
- siger
- Fup
- svindel
- scanne
- scanning
- sikker
- sikkerhed
- Sikkerhedsbevidsthed
- Sikkerhedsforanstaltninger
- sikkerhedsrisici
- afsendelse
- følsom
- tjeneste
- Tjenester
- sessioner
- setup
- deling
- hun
- Kort
- bør
- Vis
- Websteder
- lille
- So
- Social
- Samfundsteknologi
- søgte
- Spanien
- spredes
- Personale
- Starter
- klistermærker
- Stadig
- strategier
- succes
- sådan
- sikker
- taktik
- Tag
- tager
- tager
- rettet mod
- teknikker
- end
- at
- verdenen
- deres
- Them
- Der.
- Disse
- de
- tror
- Tænker
- denne
- trussel
- trusler
- Gennem
- billetter
- til
- Trafik
- Tog
- Kurser
- transportere
- Stol
- allestedsnærværende
- uberettiget
- under
- oplåsning
- URL
- brug
- Bruger
- brugere
- bruger
- ved brug af
- værdi
- forskellige
- verificere
- via
- ofre
- KRÆNKELSE
- Vej..
- måder
- we
- web
- Webapplikation
- Hjemmeside
- websites
- var
- Hvad
- hvornår
- som
- mens
- udbredt
- Wild
- med
- virker
- world
- Din
- zephyrnet