Karena kode QR sudah ada di mana-mana, penyebarannya telah menimbulkan risiko keamanan baru dan baru.
Lebih dari 80% pengguna kode QR yang berbasis di AS mengatakan mereka menganggap kode QR aman, namun hanya 37% pengguna yang dapat mengidentifikasi kode berbahaya, menurut a laporan terbaru dari Scantrust.
Dipicu oleh kepercayaan tersebut dan adopsi kode QR yang meluas selama pandemi COVID-19, QRishing (gabungan dari โQRโ dan โphishingโ) melibatkan pembuatan kode QR palsu yang mengarahkan pengguna yang tidak menaruh curiga ke situs web jahat, tempat informasi sensitif dicari. dan dieksploitasi oleh penjahat dunia maya. Ancaman ini berkembang pesat karena taktik rekayasa sosial โ memanfaatkan kepercayaan pengguna, pemindaian kode QR yang tersebar luas, dan tantangan dalam membedakan kode asli dan kode palsu.
QRishing memiliki berbagai bentuk, mulai dari menempelkan stiker QR palsu pada kode sah di perusahaan komersial hingga memalsukan denda lalu lintas dengan kode QR yang menipu dan mengambil rincian pembayaran atau data sensitif. Penipuan ini juga mencakup โreverse QR,โ di mana penjahat dunia maya mengelabui pengguna agar melakukan pembayaran tidak sah atau berbagi data melalui kode QR yang dimanipulasi.
Keberhasilan QRishing bergantung pada pemanfaatan kepercayaan pengguna dan daya tarik diskon palsu. Korban sering kali tertipu untuk membagikan kode QR berbahaya kepada kontak mereka, sehingga melipatgandakan risikonya.
Sementara itu, โQRLjackingโ menimbulkan ancaman yang semakin besar dan menargetkan layanan, seperti WhatsApp, yang mengandalkan kode QR untuk login guna mendapatkan akses tidak sah dan mengakses informasi sensitif.
Penipuan QR Memiliki Dampak Global
Raquel Puebla, analis intelijen siber di Entelgy Innotec Security, menjelaskan bahwa serangan QR dilakukan di seluruh dunia. Dia menunjuk pada kampanye baru-baru ini di Tiongkok di mana penyerang menambahkan kode QR palsu pada tiket parkir yang tertinggal di bawah wiper kaca depan.
Kode-kode tersebut diklaim memudahkan pembayaran pelanggaran, padahal sebenarnya mereka mengumpulkan informasi pribadi dan perbankan dari para korban.
โDi Jerman, penyelidik dapat mengidentifikasi kampanye di mana, melalui email palsu yang berisi kode QR, penyerang menghubungi pelanggan perbankan online dan memperoleh informasi sensitif,โ katanya.
Sebuah kampanye baru-baru ini mempengaruhi layanan transportasi umum BiciMAD dan Bicing di Madrid, Spanyol, di mana kode QR palsu ditempelkan pada sepeda layanan tersebut, tambahnya.
โTampaknya ini merupakan layanan membuka kunci sepeda dengan imbalan sejumlah uang tertentu,โ katanya. โBukannya membuka akses transportasi, uang tersebut malah jatuh ke tangan penjahat dunia maya.โ
Ponsel Kurang Terlindungi
Patrick Harr, CEO di SlashNext, menunjukkan bahwa kode QR adalah cara mudah untuk menyebarkan kampanye phishing berbasis seluler dan banyak ponsel tidak memiliki perlindungan phishing.
โBanyak perusahaan yang menawarkan kode QR dan pembuatan kode pendek memiliki keamanan untuk mencegah peretas menggunakan layanan mereka untuk membuat kode QR berbahaya,โ katanya. โNamun, masih banyak layanan yang dapat digunakan oleh peretas, jadi penting untuk memiliki perlindungan seluler terhadap tautan jahat.โ
Ponsel memberi pelaku kejahatan akses ke rekening perusahaan, informasi perbankan, dan data pribadi lainnya, tambahnya.
Selain mengarahkan pengguna ke situs web itu phish kredensial mereka, menyerang perangkat mereka dengan eksploitasi sisi klien, atau membujuk mereka untuk mengunduh aplikasi berbahaya, teknik seperti QRLJacking memungkinkan penyerang melakukan pembajakan akun untuk aplikasi yang menggunakan kode QR untuk login, kata Georgia Weidman, arsitek keamanan di Zimperium.
โAda banyak kegunaan yang sah untuk kode QR โ faktanya, banyak aplikasi [autentikasi multifaktor] menggunakannya untuk pengaturan, dan kita semua tahu nilai yang diberikan MFA untuk menjaga keamanan akun kita,โ katanya. โNamun, tidak ada kode otentikasi pesan atau lainnya dalam kode QR untuk memverifikasi bahwa penyerang belum mengganti kode QR organisasi Anda dengan kode berbahaya.โ
Harr menambahkan: โPenting bagi organisasi untuk memiliki perlindungan seluler terhadap tautan jahat karena, mengingat semakin banyaknya kode QR dalam kehidupan kita sehari-hari, menjadi tidak praktis untuk menghindarinya sepenuhnya.โ
Latih Orang untuk Menangkis Serangan QR
Itxaso Reboleiro, analis intelijen siber di Entelgy Innotec Security, mengatakan kesadaran selalu menjadi titik awal untuk menangkis serangan siber yang menggunakan taktik rekayasa sosial.
โPerusahaan harus mengadakan sesi pelatihan kecil dan buletin di mana karyawan selalu mengetahui perkembangan terkini dalam ancaman dunia maya,โ katanya.
Dalam kasus QRishing, organisasi harus menyarankan karyawannya untuk tidak melakukan pemindaian Kode QR ditempelkan ke email asal yang meragukan atau diposting di tempat acak, seperti jalan umum karena penjahat dunia maya memanfaatkan tempat sibuk untuk menangkap lebih banyak korban.
Pembaca QR dapat menunjukkan kepada pengguna URL situs web sebelum mengarahkan mereka ke sana, jelas Reboleiro.
โDengan cara ini, karyawan dapat yakin akan konten yang dihosting oleh pengalihan sebelum mengakses konten atau memasukkan informasi sensitif,โ katanya.
Pengguna harus segera menutup situs web jika, setelah memindai kode QR, mereka melihat bahwa halaman yang ditampilkan tampak tidak berhubungan dengan konten yang diharapkan, Reboleiro menambahkan. Mereka tidak boleh memasukkan data pribadi atau kredensial ke situs tersebut, meskipun diminta.
โKaryawan harus segera memberi tahu manajer mereka atau staf keamanan siber perusahaan untuk mengambil tindakan keamanan yang tepat,โ katanya.
Dari sudut pandang Weidman, rencana terbaik adalah melatih karyawan mengenai hal ini implikasi keamanan kode QR, jadi mereka menggunakan batasan pemikiran kesadaran keamanan saat berinteraksi dengan mereka di alam liar. Misalnya, Proyek Keamanan Aplikasi Web Terbuka (OWASP) mencakup rincian teknis tentang cara kerja QRLJacking dan cara mengurangi risiko serangan kode QRL di aplikasi.
โJika organisasi Anda menggunakan kode QR untuk autentikasi, penting untuk menyadari jenis serangan yang digunakan penyerang dan menerapkan strategi mitigasi terhadap serangan tersebut,โ kata Weidman.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/edge/qr-code-101-what-threats
- :memiliki
- :adalah
- :bukan
- :Di mana
- 7
- a
- Sanggup
- mengakses
- mengakses
- Menurut
- Akun
- Akun
- aktor
- menambahkan
- tambahan
- Menambahkan
- Adopsi
- Keuntungan
- menasihati
- Setelah
- terhadap
- Semua
- mengizinkan
- melihat
- juga
- selalu
- jumlah
- an
- analis
- dan
- muncul
- Muncul
- Aplikasi
- keamanan aplikasi
- sesuai
- aplikasi
- ADALAH
- AS
- At
- menyerang
- Serangan
- Otentikasi
- menghindari
- sadar
- kesadaran
- Buruk
- Perbankan
- BE
- karena
- menjadi
- menjadi
- sebelum
- TERBAIK
- sibuk
- tapi
- by
- Kampanye
- Kampanye
- CAN
- topi
- menangkap
- kasus
- ceo
- tertentu
- menantang
- Tiongkok
- diklaim
- Penyelesaian
- kode
- Kode
- Mengumpulkan
- komersial
- Perusahaan
- perusahaan
- sama sekali
- merupakan
- kontak
- Konten
- Mudah
- Timeline
- bisa
- Palsu
- pemalsuan
- Covid-19
- Pandemi COVID-19
- membuat
- penciptaan
- Surat kepercayaan
- pelanggan
- maya
- Serangan cyber
- penjahat cyber
- Keamanan cyber
- harian
- data
- rincian
- Perkembangan
- Devices
- diskon
- ditampilkan
- do
- Download
- dua
- selama
- antara
- muncul
- karyawan
- Teknik
- Enter
- memasuki
- menetapkan
- Bahkan
- contoh
- Pasar Valas
- dieksekusi
- diharapkan
- Menjelaskan
- dieksploitasi
- mengeksploitasi
- eksploitasi
- memudahkan
- fakta
- gadungan
- akhir
- Untuk
- bentuk
- curang
- dari
- fusi
- Mendapatkan
- asli
- Jerman
- mendapatkan
- diberikan
- Aksi
- lebih besar
- hacker
- tangan
- panen
- Memiliki
- he
- engsel
- host
- Seterpercayaapakah Olymp Trade? Kesimpulan
- Namun
- HTTPS
- mengenali
- if
- segera
- melaksanakan
- implikasi
- penting
- in
- termasuk
- informasi
- sebagai gantinya
- Intelijen
- berinteraksi
- ke
- Penyidik
- IT
- jpg
- pemeliharaan
- terus
- Tahu
- Terbaru
- perkembangan terbaru
- memimpin
- meninggalkan
- sah
- kurang
- leveraging
- Hidup
- 'like'
- link
- masuk
- melihat
- terlihat seperti
- Membuat
- Manajer
- dimanipulasi
- banyak
- ukuran
- pesan
- MFA
- Mengurangi
- mitigasi
- mobil
- ponsel
- Moneter
- uang
- otentikasi multifaktor
- mengalikan
- New
- tidak
- Melihat..
- jumlah
- diperoleh
- of
- lepas
- menawarkan
- sering
- on
- ONE
- yang
- secara online
- online banking
- hanya
- Buka
- or
- organisasi
- organisasi
- asal
- Lainnya
- jika tidak
- kami
- di luar
- lebih
- halaman
- pandemi
- parkir
- Lulus
- pembayaran
- pembayaran
- Konsultan Ahli
- Melakukan
- pribadi
- data pribadi
- perspektif
- Phishing
- ponsel
- Tempat
- rencana
- plato
- Kecerdasan Data Plato
- Data Plato
- Titik
- poin
- pose
- mencegah
- proyek
- perlindungan
- memberikan
- publik
- Kode QR
- kode qr
- acak
- pembaca
- baru
- baru-baru ini
- redirect
- mengandalkan
- diganti
- melaporkan
- membalikkan
- Naik
- kenaikan
- Risiko
- risiko
- s
- aman
- Tersebut
- mengatakan
- Scam
- penipuan
- pemindaian
- pemindaian
- aman
- keamanan
- Kesadaran Keamanan
- Pengamanan
- risiko keamanan
- mengirim
- peka
- layanan
- Layanan
- sesi
- penyiapan
- berbagi
- dia
- Pendek
- harus
- Menunjukkan
- Situs
- kecil
- So
- Sosial
- Rekayasa Sosial
- dicari
- Spanyol
- penyebaran
- Staf
- Mulai
- stiker
- Masih
- strategi
- sukses
- seperti itu
- yakin
- taktik
- Mengambil
- Dibutuhkan
- pengambilan
- penargetan
- teknik
- dari
- bahwa
- Grafik
- Dunia
- mereka
- Mereka
- Sana.
- Ini
- mereka
- berpikir
- Pikir
- ini
- ancaman
- ancaman
- Melalui
- tiket
- untuk
- lalu lintas
- Pelatihan VE
- Pelatihan
- mengangkut
- Kepercayaan
- di mana-mana
- tidak sah
- bawah
- unlocking
- URL
- menggunakan
- Pengguna
- Pengguna
- kegunaan
- menggunakan
- nilai
- berbagai
- memeriksa
- melalui
- korban
- PELANGGARAN
- Cara..
- cara
- we
- jaringan
- aplikasi web
- Situs Web
- situs web
- adalah
- Apa
- ketika
- yang
- sementara
- tersebar luas
- Liar
- dengan
- bekerja
- dunia
- Anda
- zephyrnet.dll