Kun QR-koodit ovat yleistyneet, niiden yleistyminen on aiheuttanut uusia ja nousevia turvallisuusriskejä.
Yli 80 % yhdysvaltalaisista QR-koodin käyttäjistä sanoi pitävänsä QR-koodit turvallisina, mutta vain 37 % käyttäjistä pystyi tunnistamaan haitallisen koodin. Scantrustin tuore raportti.
Tällaisesta luottamuksesta ja QR-koodien laajasta käyttöönotosta COVID-19-pandemian aikana ruokkimassa QRishing ("QR:n" ja "phishingin" yhdistelmä) sisältää väärennettyjen QR-koodien luomisen, jotka johtavat pahaa aavistamattomat käyttäjät haitallisille verkkosivustoille, joilta etsitään arkaluonteista tietoa. ja kyberrikolliset käyttävät hyväkseen. Tämä uhka on menestynyt sosiaalisen suunnittelun taktiikoiden ansiosta – käyttäjien luottamuksen hyödyntäminen, QR-koodin skannauksen yleisyys ja haaste erottaa aidot koodit vilpillisistä.
QR-koodilla on useita muotoja, väärennettyjen QR-tarrojen kiinnittämisestä laillisten koodien päälle kaupallisissa laitoksissa liikennesakkojen väärentämiseen petollisilla QR-koodeilla, jotka keräävät maksutietoja tai arkaluonteisia tietoja. Huijaukseen sisältyy myös "käänteinen QR", jossa kyberrikolliset huijaavat käyttäjiä suorittamaan luvattomia maksuja tai jakamaan tietoja manipuloitujen QR-koodien avulla.
QRishingin menestys riippuu käyttäjien luottamuksen hyödyntämisestä ja väärennettyjen alennusten houkuttelusta. Uhrit huijataan usein jakamaan haitallisia QR-koodeja kontakteilleen, mikä moninkertaistaa riskin.
Samaan aikaan "QRLjacking" muodostaa kasvavan uhan, joka kohdistuu palveluihin, kuten WhatsApp, jotka käyttävät QR-koodeja sisäänkirjautumiseen päästäkseen luvatta ja pääsevät käsiksi arkaluonteisiin tietoihin.
QR-huijauksilla on maailmanlaajuinen vaikutus
Entelgy Innotec Securityn kybertiedon analyytikko Raquel Puebla selittää, että QR-hyökkäyksiä tehdään kaikkialla maailmassa. Hän viittaa äskettäiseen kampanjaan Kiinassa, jossa hyökkääjät lisäsivät petollisia QR-koodeja tuulilasinpyyhkimien alle jätettyihin pysäköintilippuihin.
Nämä koodit väittivät helpottavan rikkomuksen maksamista, vaikka itse asiassa ne keräsivät henkilö- ja pankkitietoja uhreilta.
"Saksassa tutkijat pystyivät tunnistamaan kampanjan, jossa hyökkääjät ottivat yhteyttä verkkopankkiasiakkaisiin QR-koodeja sisältävien vilpillisten sähköpostien kautta ja saivat arkaluontoisia tietoja", hän sanoo.
Espanjan Madridissa BiciMADin ja Bicingin joukkoliikennepalveluihin kohdistui äskettäin kampanja, jossa näiden palveluiden pyöriin liitettiin petollisia QR-koodeja, hän lisää.
"Ne näyttivät olevan palvelu polkupyörän lukituksen avaamiseksi tiettyä rahasummaa vastaan", hän sanoo. "Kuljetuksen avaamisen sijaan rahat siirtyivät kyberrikollisten käsiin."
Matkapuhelimet ovat vähemmän suojattuja
SlashNextin toimitusjohtaja Patrick Harr huomauttaa, että QR-koodit ovat kätevä tapa levittää mobiilipohjaisia tietojenkalastelukampanjoita ja että monissa matkapuhelimissa ei ole tietojenkalasteluturvaa.
"Monilla yrityksillä, jotka tarjoavat QR-koodin ja lyhytkoodin luomista, on suojaus, joka estää hakkereita käyttämästä heidän palveluaan haitallisten QR-koodien luomiseen", hän sanoo. "On kuitenkin edelleen monia palveluita, joita hakkerit voivat käyttää, joten mobiilisuojaus haitallisia linkkejä vastaan on tärkeää."
Matkapuhelimet antavat huonoille toimijoille pääsyn yritystileihin, pankkitietoihin ja muihin henkilötietoihin, hän lisää.
Sen lisäksi, että käyttäjät lähetetään verkkosivustoille, jotka phish heidän valtuustietojaan, hyökkäävät laitteisiinsa asiakaspuolen hyväksikäytöillä tai houkuttelevat heitä lataamaan haitallisia sovelluksia. QRLJackingin kaltaisten tekniikoiden avulla hyökkääjät voivat tehdä tilikaappauksia sovelluksille, jotka käyttävät QR-koodia kirjautumiseen, sanoo Georgia Weidman, Zimperiumin turvallisuusarkkitehti.
"QR-koodeille on monia laillisia käyttötapoja – itse asiassa monet [monitekijätodennus]-sovellukset käyttävät niitä asennukseen, ja me kaikki tiedämme, kuinka arvon MFA antaa tiliemme turvassa", hän sanoo. "QR-koodeissa ei kuitenkaan ole viestien todennuskoodia tai muutakaan, jolla varmistetaan, ettei hyökkääjä ole korvannut organisaatiosi QR-koodia haitallisella."
Harr lisää: "On tärkeää, että organisaatioilla on mobiilisuojaus haitallisia linkkejä vastaan, koska QR-koodien yleistyessä jokapäiväisessä elämässämme on tulossa epäkäytännöllistä välttää niitä kokonaan."
Kouluta ihmisiä torjumaan QR-hyökkäykset
Itxaso Reboleiro, Entelgy Innotec Securityn kybertiedon analyytikko, sanoo, että tietoisuus on aina lähtökohta sosiaalisen suunnittelun taktiikkaa käyttävien kyberhyökkäysten torjumiseksi.
"Yritysten tulisi järjestää pieniä koulutustilaisuuksia ja tiedotteita, joissa työntekijät ovat ajan tasalla viimeisimmistä kyberuhkien kehityksestä", hän sanoo.
QRishingin tapauksessa organisaatioiden tulee neuvoa työntekijöitä olemaan skannaamatta QR-koodit liitetty sähköposteihin epäilyttävää alkuperää tai postattu satunnaisiin paikkoihin, kuten yleisillä teillä, koska kyberrikolliset hyödyntävät vilkkaita paikkoja saadakseen kiinni suuremman määrän uhreja.
QR-lukijat voivat näyttää käyttäjille verkkosivuston URL-osoitteen ennen viemistä sinne, Reboleiro selittää.
"Tällä tavalla työntekijät voivat olla varmoja uudelleenohjauksen ylläpitämästä sisällöstä ennen kuin he pääsevät sisältöön tai syöttävät arkaluonteisia tietoja", hän sanoo.
Käyttäjien tulee sulkea verkkosivusto välittömästi, jos he huomaavat QR-koodin skannauksen jälkeen, että näytettävät sivut eivät vaikuta liittyvän odotettuun sisältöön. Reboleiro lisää. He eivät myöskään saa syöttää henkilötietoja tai tunnistetietoja tällaisille sivustoille, vaikka niitä pyydettäisiin.
"Työntekijöiden tulee viipymättä ilmoittaa esimiehilleen tai yrityksen kyberturvallisuushenkilöstölle asianmukaisten turvatoimien toteuttamiseksi", hän sanoo.
Weidmanin näkökulmasta paras suunnitelma on kouluttaa työntekijöitä QR-koodien turvallisuusvaikutukset, joten he käyttävät turvallisuustietoisuuden ajattelua vuorovaikutuksessa heidän kanssaan luonnossa. Esimerkiksi Open Web Application Security Project (OWASP) sisältää tekniset yksityiskohdat QRLJackingin toiminnasta ja tavoista vähentää QRL-koodihyökkäysten riskejä sovelluksissa.
"Jos organisaatiosi käyttää QR-koodeja todentamiseen, on tärkeää olla tietoinen hyökkääjien käyttämistä hyökkäyksistä ja ottaa käyttöön lieventämisstrategioita", Weidman sanoo.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/edge/qr-code-101-what-threats
- :on
- :On
- :ei
- :missä
- 7
- a
- pystyy
- pääsy
- Pääsy
- Mukaan
- Tili
- Tilit
- toimijoiden
- lisä-
- Lisäksi
- Lisää
- Hyväksyminen
- Etu
- neuvoa
- Jälkeen
- vastaan
- Kaikki
- sallia
- viehättää
- Myös
- aina
- määrä
- an
- analyytikko
- ja
- näyttää
- ilmestyi
- Hakemus
- sovellusten suojaus
- sopiva
- sovellukset
- OVAT
- AS
- At
- hyökkäys
- Hyökkäykset
- Authentication
- välttää
- tietoinen
- tietoisuus
- Huono
- Pankkitoiminta
- BE
- koska
- tulevat
- tulossa
- ennen
- PARAS
- kiireinen
- mutta
- by
- Kampanja
- Kampanjat
- CAN
- caps
- kaapata
- tapaus
- toimitusjohtaja
- tietty
- haaste
- Kiina
- väitti
- lähellä
- koodi
- koodit
- Kerääminen
- kaupallinen
- Yritykset
- yritys
- täysin
- muodostaa
- Yhteydet
- pitoisuus
- Mukava
- Yrityksen
- voisi
- Väärennetty
- väärentäminen
- Covid-19
- COVID-19 -pandemia
- luoda
- luominen
- Valtakirja
- Asiakkaat
- cyber
- Kyberhyökkäys
- verkkorikollisille
- tietoverkkojen
- päivittäin
- tiedot
- yksityiskohdat
- kehitys
- Laitteet
- alennukset
- näyttöön
- do
- download
- kaksi
- aikana
- myöskään
- sähköpostit
- syntymässä
- työntekijää
- Tekniikka
- enter
- kirjoittamalla
- perustaa
- Jopa
- esimerkki
- Vaihdetaan
- teloitettiin
- odotettu
- selittää
- hyödynnetään
- hyödyntäminen
- hyödyntää
- helpottamaan
- tosiasia
- väärennös
- sakkoja
- varten
- lomakkeet
- vilpillinen
- alkaen
- fuusio
- Saada
- aito
- Saksa
- saada
- tietty
- Global
- suurempi
- hakkerit
- käsissä
- sato
- Olla
- he
- saranat
- isännöi
- Miten
- Kuitenkin
- HTTPS
- tunnistaa
- if
- heti
- toteuttaa
- vaikutukset
- tärkeä
- in
- sisältää
- tiedot
- sen sijaan
- Älykkyys
- vuorovaikutuksessa
- tulee
- Tutkijat
- IT
- jpg
- pito
- säilytetään
- Tietää
- uusin
- viimeisin kehitys
- johtaa
- vasemmalle
- laillinen
- vähemmän
- vipuvaikutuksen
- elämä
- pitää
- linkit
- Kirjaudu sisään
- katso
- näyttää joltakin
- Tekeminen
- Päättäjät
- manipuloitu
- monet
- toimenpiteet
- viesti
- UM
- lieventää
- lieventäminen
- Puhelinnumero
- matkapuhelimet
- Raha
- raha
- monitekijäinen todennus
- kertomalla
- Uusi
- Nro
- Ilmoitus..
- numero
- saatu
- of
- pois
- kampanja
- usein
- on
- ONE
- yhdet
- verkossa
- verkkopankit
- vain
- avata
- or
- organisaatio
- organisaatioiden
- alkuperä
- Muut
- muuten
- meidän
- ulos
- yli
- sivut
- pandeeminen
- pysäköinti
- Hyväksytty
- maksu
- maksut
- Ihmiset
- Suorittaa
- henkilöstö
- henkilökohtaiset tiedot
- näkökulma
- Phishing
- puhelimet
- paikat
- suunnitelma
- Platon
- Platonin tietotieto
- PlatonData
- Kohta
- pistettä
- aiheuttaa
- estää
- projekti
- suojaus
- toimittaa
- julkinen
- QR code
- qr-koodit
- satunnainen
- lukijoita
- äskettäinen
- äskettäin
- kääntää
- luottaa
- korvataan
- raportti
- käänteinen
- Nousta
- nouseva
- Riski
- riskit
- s
- turvallista
- Said
- sanoo
- Huijaus
- huijauksia
- skannata
- skannaus
- turvallinen
- turvallisuus
- Turvallisuustietoisuus
- Turvatoimet
- turvallisuusriskit
- lähettäminen
- sensible
- palvelu
- Palvelut
- istuntoja
- setup
- jakaminen
- hän
- Lyhyt
- shouldnt
- näyttää
- Sivustot
- pieni
- So
- sosiaalinen
- Sosiaalinen insinööri
- pyrittiin
- Espanja
- levitä
- Henkilöstö
- Aloita
- tarrat
- Yhä
- strategiat
- menestys
- niin
- varma
- taktiikka
- ottaa
- vie
- ottaen
- kohdistaminen
- tekniikat
- kuin
- että
- -
- maailma
- heidän
- Niitä
- Siellä.
- Nämä
- ne
- ajatella
- Ajattelu
- tätä
- uhkaus
- uhat
- Kautta
- liput
- että
- liikenne
- Juna
- koulutus
- kuljettaa
- Luottamus
- kaikkialla läsnä oleva
- luvaton
- varten
- lukituksen
- URL
- käyttää
- käyttäjä
- Käyttäjät
- käyttötarkoituksiin
- käyttämällä
- arvo
- eri
- todentaa
- kautta
- uhrit
- RIKKOMINEN
- Tapa..
- tavalla
- we
- verkko
- Web-sovellus
- Verkkosivu
- sivustot
- olivat
- Mitä
- kun
- joka
- vaikka
- laajalle levinnyt
- Villi
- with
- toimii
- maailman-
- Sinun
- zephyrnet