Thein Security: Quishing je na vzestupu

Americká federální komise pro obchod (FTC) v prosinci 2023 vydala varování před škodlivými QR kódy. Týkalo se USA, ale zkušenosti Thein Security ukazují, že tento nový typ bezpečnostních útoků, označovaný jako quishing, je na vzestupu i v Česku.

„Mezi našimi klienty pozorujeme, že lidé i firemní prostředí jsou k novému fenoménu quishingu poměrně vysoce náchylní. V poslední době se s tím bohužel v praxi setkáváme čím dál častěji. Veřejnost, ale i zaměstnanci mu snadno podlehnou, chybí dostatečně povědomí o nebezpečích i jak se útokům bránit,” potvrzuje narůstající popularitu quishingu v Česku Irena Hýsková, výkonná ředitelka Thein Security.

QR kódy jsou dnes běžným nástrojem využívaným pro řadu účelů. Otevření webových stránek, poskytnutí kontaktní informace, online platby, vstupenky na akce, pořízení mobilních aplikací, objednávání jídla i zboží a řadu dalších užitečných činností. 

Fungují přitom velmi snadno. Namíříte fotoaparát telefonu na QR kód, telefon jej přečte a podle obsahu “kostiček” provede odpovídající akci. Nejčastěji právě otevření webových stránek či mobilních aplikací nebo vyvolání online platby.

QR kódy se ale staly nástrojem kybernetických útoků v nové formě phishingu (rhybaření) a tato aktivita získala i označení, quishing (QR code phishing). Útočnící využívají toho, že lidé prozatím nevědí o rizicích a nejsou dostatečně obezřetní a zároveň toho, že do obsahu QR kódu není vidět dřív, než v okamžiku kdy ho načtete telefonem. 

Quishing se dá velmi snadno využít tak, že oběť otevře webovou adresu, o které si myslí, že je bezpečná. Ve skutečnosti otevře škodlivou webovou stránku s viry či malware, nebo falešnou webovou stránku napodobující například banku, e-mail, či jiné služby vyžadující přihlašovací údaje. Ty, nic netušící, zadá aby v zápětí došlo k odcizení online účtu. 

Cílený quishing (spear quishing) může být na míru vyrobený pro útok na firmy a organizace. Útočník se tak může dostat do firemních sítí, hacknout další firemní počítače, ukrást data, nasadit ransomware. Při cílení na finanční oddělení mohou podvržené QR kódy vést k zaplacení nesprávných částek na účty útočníka. Velmi často slouží  k odcizení osobních údajů či finančních informací, zejména v podobě kompletních údajů z platební karty.

Stejným způsobem například funguje přelepování QR kódu na parkovacích automatech. Ať už vedoucích přímo k placení, nebo k instalaci parkovacích aplikací. Do mobilu oběti se tak dostane škodlivá podvodná aplikace.

Oblíbené je i využití pro modernější formu upozornění na nedoručenou zásilku nebo podvodná varování o problémech s účty, pokyny k zaplacení pokuty i řada dalších aktivit.

Jak se bránit quishingu

Obrana proti qushingu může být poněkud komplikovaná, zejména s ohledem na nedostatek zkušeností a nedostatečném povědomí o rizicích. Nejdůležitější obranou by tedy mělo být vzdělávání, jak u spotřebitelů, tak ve firemním prostředí. 

Je třeba se naučit neotevírat QR kódy z nejistých zdrojů. Pokud už otevírat, tak důsledně ověřovat  – zda otevřený web je skutečně ten co měl být otevřen, zda číslo účtu v pokynu k platbě je správné. To, zda je QR kód bezpečný je velmi často snadno možné ověřit na webových stránkách, kontaktováním společnosti spojené s QR kódem. Vyplatí se i prozkoumat a ověřit e-mail odesílatele emailu s QR kódem, či telefonní číslo, ze kterého kód přišel. 

Obzvlášť pozor je třeba dávat na QR kódy zobrazující se v online, ale i offline reklamách. Reklama je častým nástrojem kyberútoků. 

Ve firemním prostředí platí výše uvedené, ale zcela jistě lze přidat i další dodatečné způsoby prevence a ochrany. Od nastavení procesů, zejména například při ověřování plateb, odpovídající ochranu mobilních zařízení včetně omezení přístupů a aktivit až po důsledné zabezpečení přihlašování k firemním systémům a sítím.

Ve firmách tedy platí, že nejlepší kombinace je proškolení zaměstnanců, používání bezpečnostního software a jasné nastavení politiky používání QR kódů. 

Zdroj: Thein Security