Efterhånden som QR-koder er blevet allestedsnærværende, har deres udbredelse givet anledning til nye og nye sikkerhedsrisici.
Mere end 80 % af USA-baserede QR-kodebrugere sagde, at de tror, QR-koder er sikre, men kun 37 % af brugerne kunne identificere en ondsindet, ifølge en seneste rapport fra Scantrust.
På grund af en sådan tillid og den udbredte anvendelse af QR-koder under COVID-19-pandemien involverer QRishing (en fusion af "QR" og "phishing") fremstilling af falske QR-koder, der leder intetanende brugere til ondsindede websteder, hvor der søges efter følsom information og udnyttet af cyberkriminelle. Denne trussel har blomstret på grund af social engineering-taktik – udnyttelse af brugertillid, allestedsnærværende QR-kodescanning og udfordringen med at skelne ægte koder fra svigagtige koder.
QRishing antager forskellige former, lige fra at anbringe falske QR-mærkater over legitime koder i kommercielle virksomheder til forfalskning af trafikbøder med vildledende QR-koder, der indsamler betalingsoplysninger eller følsomme data. Fidusen inkluderer også "omvendt QR", hvor cyberkriminelle narrer brugere til at foretage uautoriserede betalinger eller dele data via manipulerede QR-koder.
Succesen med QRishing afhænger af udnyttelsen af brugernes tillid og forlokkelsen ved falske rabatter. Ofre bliver ofte narret til at dele ondsindede QR-koder med deres kontakter, hvilket øger risikoen.
I mellemtiden udgør "QRLjacking" en stigende trussel, der målretter tjenester, såsom WhatsApp, der er afhængige af QR-koder til logins for at få uautoriseret adgang og få adgang til følsomme oplysninger.
QR-svindel har global indflydelse
Raquel Puebla, cyberintelligensanalytiker hos Entelgy Innotec Security, forklarer, at QR-angreb udføres over hele verden. Hun peger på en nylig kampagne i Kina, hvor angriberne tilføjede falske QR-koder parkeringsbilletter efterladt under vinduesviskerne.
Disse koder hævdede at lette betalingen af overtrædelsen, mens de faktisk indsamlede personlige oplysninger og bankoplysninger fra ofrene.
"I Tyskland var efterforskere i stand til at identificere en kampagne, hvor angribere gennem svigagtige e-mails indeholdende QR-koder kontaktede netbankkunder og indhentede følsomme oplysninger," siger hun.
En kampagne ramte for nylig de offentlige transporttjenester BiciMAD og Bicing i Madrid, Spanien, hvor falske QR-koder blev knyttet til disse tjenesters cykler, tilføjer hun.
"De så ud til at udgøre en service med at låse cyklen op i bytte for et bestemt pengebeløb," siger hun. "I stedet for at låse transporten op, gik pengene i hænderne på cyberkriminelle."
Mobiltelefoner er mindre beskyttede
Patrick Harr, CEO hos SlashNext, påpeger, at QR-koder er en bekvem måde at sprede mobilbaserede phishing-kampagner på, og at mange mobiltelefoner ikke har phishing-beskyttelse.
"Mange virksomheder, der tilbyder QR-kode og kortkodeoprettelse, har sikkerhed for at forhindre hackere i at bruge deres tjeneste til at skabe ondsindede QR-koder," siger han. "Der er dog stadig mange tjenester, som hackere kan bruge, så det er vigtigt at have mobilbeskyttelse mod ondsindede links."
Mobiltelefoner giver dårlige skuespillere adgang til virksomhedskonti, bankoplysninger og andre personlige data, tilføjer han.
Ud over at sende brugere til hjemmesider, der phish deres legitimationsoplysninger, angribe deres enheder med klient-side exploits eller lokke dem til at downloade ondsindede apps, teknikker såsom QRLJacking tillader angribere at udføre kontokapring for apps, der bruger en QR-kode til login, siger Georgia Weidman, sikkerhedsarkitekt hos Zimperium.
"Der er mange legitime anvendelser af QR-koder - faktisk bruger mange [multifaktorautentificering]-apps dem til opsætning, og vi ved alle, hvilken værdi MFA giver til at holde vores konti sikre," siger hun. "Der er dog ingen meddelelsesgodkendelseskode eller på anden måde i QR-koder til at bekræfte, at en hacker ikke har erstattet din organisations QR-kode med en ondsindet."
Tilføjer Harr: "Det er vigtigt for organisationer at have mobil beskyttelse mod ondsindede links, fordi det i betragtning af udbredelsen af QR-koder i vores daglige liv er ved at blive upraktisk at undgå dem fuldstændigt."
Træn folk til at parere QR-angreb
Itxaso Reboleiro, cyberintelligensanalytiker hos Entelgy Innotec Security, siger, at bevidsthed altid er udgangspunktet for at afværge et cyberangreb, der bruger social engineering taktik.
"Virksomheder bør etablere små træningssessioner og bulletiner, hvor medarbejderne holdes orienteret om den seneste udvikling inden for cybertrusler," siger hun.
I tilfælde af QRishing bør organisationer råde medarbejdere til ikke at scanne QR-koder indsat i e-mails af tvivlsom oprindelse eller postet tilfældige steder, såsom offentlige veje, fordi cyberkriminelle udnytter travle steder til at fange et større antal ofre.
QR-læsere kan vise brugerne URL'en på et websted, før de tager dem dertil, forklarer Reboleiro.
"På denne måde kan medarbejderne være sikre på indholdet, der hostes af omdirigeringen, før de får adgang til indholdet eller indtaster følsomme oplysninger," siger hun.
Brugere bør øjeblikkeligt lukke webstedet, hvis de efter scanning af en QR-kode bemærker, at de viste sider ikke ser ud til at være relateret til det forventede indhold, Reboleiro tilføjer. De bør heller ikke indtaste personlige data eller legitimationsoplysninger på sådanne websteder, selvom de bliver bedt om det.
"Medarbejdere bør straks give deres ledere eller virksomhedens cybersikkerhedspersonale besked om at tage passende sikkerhedsforanstaltninger," siger hun.
Fra Weidmans perspektiv er den bedste plan at uddanne medarbejdere på sikkerhedsmæssige konsekvenser af QR-koder, så de bruger deres sikkerhedsbevidsthedstankehætter, mens de interagerer med dem i naturen. For eksempel inkluderer Open Web Application Security Project (OWASP). tekniske detaljer om, hvordan QRLJacking fungerer og måder at mindske risikoen for QRL-kodeangreb i apps.
"Hvis din organisation bruger QR-koder til godkendelse, er det vigtigt at være opmærksom på den slags angreb, som angribere bruger, og at implementere afbødningsstrategier for dem," siger Weidman.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/edge/qr-code-101-what-threats
- :har
- :er
- :ikke
- :hvor
- 7
- a
- I stand
- adgang
- Adgang
- Ifølge
- Konto
- Konti
- aktører
- tilføjet
- Desuden
- Tilføjer
- Vedtagelse
- Fordel
- rådgive
- Efter
- mod
- Alle
- tillade
- lokke
- også
- altid
- beløb
- an
- analytiker
- ,
- vises
- dukkede
- Anvendelse
- applikationssikkerhed
- passende
- apps
- ER
- AS
- At
- angribe
- Angreb
- Godkendelse
- undgå
- opmærksom på
- bevidsthed
- Bad
- Bank
- BE
- fordi
- bliver
- blive
- før
- BEDSTE
- travlt
- men
- by
- Kampagne
- Kampagner
- CAN
- caps
- fange
- tilfælde
- Direktør
- vis
- udfordre
- Kina
- hævdede
- Luk
- kode
- koder
- Indsamling
- kommerciel
- Virksomheder
- selskab
- fuldstændig
- udgøre
- kontakter
- indhold
- Praktisk
- Corporate
- kunne
- Counterfeit
- forfalskning
- Covid-19
- COVID-19-pandemi
- skabe
- skabelse
- Legitimationsoplysninger
- Kunder
- Cyber
- Cyber angreb
- cyberkriminelle
- Cybersecurity
- dagligt
- data
- detaljer
- udvikling
- Enheder
- rabatter
- vises
- do
- downloade
- grund
- i løbet af
- enten
- emails
- smergel
- medarbejdere
- Engineering
- Indtast
- indtastning
- etablere
- Endog
- eksempel
- udveksling
- henrettet
- forventet
- Forklarer
- Exploited
- udnytte
- exploits
- lette
- Faktisk
- falsk
- bøder
- Til
- formularer
- svigagtig
- fra
- fusion
- Gevinst
- ægte
- Tyskland
- få
- given
- Global
- større
- hackere
- hænder
- høst
- Have
- he
- hængsler
- hostede
- Hvordan
- Men
- HTTPS
- identificere
- if
- straks
- gennemføre
- implikationer
- vigtigt
- in
- omfatter
- oplysninger
- i stedet
- Intelligens
- interaktion
- ind
- Efterforskere
- IT
- jpg
- holde
- holdt
- Kend
- seneste
- seneste udvikling
- føre
- til venstre
- legitim
- mindre
- løftestang
- Livet
- ligesom
- links
- Logge på
- Se
- ligner
- Making
- Ledere
- manipuleret
- mange
- foranstaltninger
- besked
- MFA
- afbøde
- afbødning
- Mobil
- mobiltelefoner
- Monetære
- penge
- multifaktorgodkendelse
- multiplicere
- Ny
- ingen
- Varsel..
- nummer
- opnået
- of
- off
- tilbyde
- tit
- on
- ONE
- dem
- online
- netbank
- kun
- åbent
- or
- organisation
- organisationer
- oprindelse
- Andet
- Ellers
- vores
- ud
- i løbet af
- sider
- pandemi
- parkering
- Bestået
- betaling
- betalinger
- Mennesker
- Udfør
- personale
- Personlig data
- perspektiv
- Phishing
- telefoner
- Steder
- fly
- plato
- Platon Data Intelligence
- PlatoData
- Punkt
- punkter
- udgør
- forhindre
- projekt
- beskyttelse
- give
- offentlige
- QR code
- qr-koder
- tilfældig
- læsere
- nylige
- for nylig
- omdirigere
- stole
- udskiftes
- indberette
- vende
- Rise
- stigende
- Risiko
- risici
- s
- sikker
- Said
- siger
- Fup
- svindel
- scanne
- scanning
- sikker
- sikkerhed
- Sikkerhedsbevidsthed
- Sikkerhedsforanstaltninger
- sikkerhedsrisici
- afsendelse
- følsom
- tjeneste
- Tjenester
- sessioner
- setup
- deling
- hun
- Kort
- bør
- Vis
- Websteder
- lille
- So
- Social
- Samfundsteknologi
- søgte
- Spanien
- spredes
- Personale
- Starter
- klistermærker
- Stadig
- strategier
- succes
- sådan
- sikker
- taktik
- Tag
- tager
- tager
- rettet mod
- teknikker
- end
- at
- verdenen
- deres
- Them
- Der.
- Disse
- de
- tror
- Tænker
- denne
- trussel
- trusler
- Gennem
- billetter
- til
- Trafik
- Tog
- Kurser
- transportere
- Stol
- allestedsnærværende
- uberettiget
- under
- oplåsning
- URL
- brug
- Bruger
- brugere
- bruger
- ved brug af
- værdi
- forskellige
- verificere
- via
- ofre
- KRÆNKELSE
- Vej..
- måder
- we
- web
- Webapplikation
- Hjemmeside
- websites
- var
- Hvad
- hvornår
- som
- mens
- udbredt
- Wild
- med
- virker
- world
- Din
- zephyrnet