Η Aπάτη με τη Σάρωση των QR Codes.Τι είναι τελικά το Quishing;

nickpsar
4 Min Read
Πηγή: Destination Certification

Καθυστερείτε για μια συνάντηση. Η κίνηση στους δρόμους είναι ένα δράμα, και νιώθετε το άγχος να σας κατακλύζει καθώς περνούν τα δευτερόλεπτα. Τελικά, βρίσκετε μια θέση στάθμευσης. Τραβάτε το χειρόφρενο και βγαίνετε από το αυτοκίνητο, τρέχοντας προς τον παρκόμετρο. Παλεύετε με το κινητό σας για να ανοίξετε την εφαρμογή ανάγνωσης QR και να σαρώσετε τον κωδικό του παρκόμετρου. Εισάγετε τα στοιχεία της πιστωτικής σας κάρτας για να πληρώσετε για μία ώρα και τρέχετε στη συνάντησή σας.
Αυτό που δεν γνωρίζετε είναι ότι μόλις πέσατε θύμα quishing—phishing μέσω QR code—και οι επιτιθέμενοι έχουν εξαντλήσει το υπόλοιπο της πιστωτικής σας κάρτας.

Πώς λειτουργεί το quishing;

Το quishing είναι ένας αναδυόμενος τύπος phishing επίθεσης που εκμεταλλεύεται τους QR κωδικούς. Είναι απλά μια άλλη μορφή κοινωνικής μηχανικής. Αντί να ξεκινήσει με ένα phishing email ή μια τηλεφωνική κλήση για να σας εξαπατήσουν ώστε να παραδώσετε τα στοιχεία σας, χρησιμοποιεί QR κωδικούς ως μέσο επίθεσης. Ένας ψεύτικος QR κωδικός σας κατευθύνει σε έναν κακόβουλο ιστότοπο, όπου οι επιτιθέμενοι σας πείθουν να παραδώσετε ευαίσθητες πληροφορίες, όπως τα στοιχεία σύνδεσής σας ή τα οικονομικά σας δεδομένα.

Στο παράδειγμα που περιγράφεται παραπάνω, αντί να σαρώσετε τον νόμιμο QR κωδικό του παρκόμετρου, σαρώσατε έναν κακόβουλο κωδικό που ο επιτιθέμενος τοποθέτησε προσεκτικά πάνω από τον πραγματικό. Δεν εισάγετε τα στοιχεία της πιστωτικής σας κάρτας στη νόμιμη πύλη του παρκόμετρου, αλλά τα παραδίδετε απευθείας στους επιτιθέμενους.

Το quishing δεν είναι προϊόν επιστημονικής φαντασίας αλλά πλέοον αποτελεί μία πραγματική απειλή και χρειάζεται να προστατεύσουμε τόσο τον εαυτό μας όσο και τους χρήστες μας από αυτήν. Όπως στο παράδειγμα, αυτές οι επιθέσεις μπορεί να ξεκινήσουν στον φυσικό κόσμο, αλλά μπορούν επίσης να φτάσουν σε εμάς στον ψηφιακό χώρο, όπως όταν λαμβάνουμε έναν QR κωδικό στο email μας ή όταν ένας ιστότοπος μας ζητά να σαρώσουμε έναν κωδικό.

Από την οπτική του επιτιθέμενου, ένα από τα πλεονεκτήματα του quishing είναι ότι μπορεί να είναι πιο εύκολο να ξεγελάσει τους στόχους του. Αυτές οι επιθέσεις δεν είναι ακόμη πολύ συχνές, και πολλοί άνθρωποι δεν είναι εξοικειωμένοι με αυτές. Αντίθετα, οι χρήστες λαμβάνουν phishing emails εδώ και δεκαετίες. Οι περισσότεροι από εμάς είμαστε κάπως επιφυλακτικοί και γνωρίζουμε κάποιες αμυντικές τεχνικές, όπως το να ελέγχουμε αν η διεύθυνση email του αποστολέα είναι έγκυρη ή να διασταυρώνουμε μια ύποπτη URL με τον επίσημο ιστότοπο του οργανισμού. Η καινοτομία των επιθέσεων quishing σημαίνει ότι πολλοί από εμάς δεν έχουμε αναπτύξει ακόμα τέτοιες άμυνες.

Πώς να προστατευτείτε από το quishing;

Η ενημέρωση και η εκπαίδευση είναι βασικές προτεραιότητες για την άμυνα κατά του quishing. Πολλοί χρήστες μπορεί να μην έχουν ακούσει ποτέ για αυτές τις επιθέσεις, οπότε δεν θα γνωρίζουν ότι πρέπει να είναι προσεκτικοί όταν χρησιμοποιούν QR code readers. Η εκπαίδευση των εργαζομένων στην οργάνωσή σας για την απειλή αυτή και μερικά μέτρα άμυνας θα μειώσει σημαντικά τον κίνδυνο.

Μια άλλη επιλογή είναι η ανάπτυξη εργαλείων σάρωσης email που μπορούν να αποκωδικοποιήσουν QR κωδικούς και να ανιχνεύσουν αν ένας ιστότοπος είναι πιθανώς κακόβουλος.

Τέλος, τα μέτρα που χρησιμοποιούμε για να αποτρέψουμε τις παραδοσιακές phishing επιθέσεις είναι επίσης χρήσιμα. Όπως ενημερώνουμε τους χρήστες να μην κάνουν κλικ σε ύποπτους συνδέσμους, πρέπει να τους διδάξουμε να μην σαρώνουν αναξιόπιστους QR κωδικούς. Εάν σαρώνουν έναν QR κωδικό, θα πρέπει να ελέγχουν αν το URL που εμφανίζεται είναι ύποπτο.

Η υιοθέτηση πολυπαραγοντικής αυθεντικοποίησης (MFA) θα βοηθήσει επίσης στην αποτροπή παραβίασης λογαριασμών, ακόμη κι αν κάποιος πέσει θύμα quishing.

Είναι πάντα καλύτερο να εφαρμόζουμε πολυεπίπεδη άμυνα που μπορεί να περιορίσει τις συνέπειες από τέτοιες επιθέσεις.

Follow:
Γεια σας! Είμαι ειδικός στις τηλεπικοινωνίες και την κυβερνοασφάλεια, με πάθος για την επίλυση σύνθετων "γρίφων" στον ψηφιακό κόσμο. Δραστηριοποιούμαι εκεί που συναντιούνται η καινοτομία, η ασφάλεια και η στρατηγική. Αλλά υπάρχει και κάτι παραπάνω από firewalls και κλειδιά κρυπτογράφησης! Όταν δεν προστατεύω δίκτυα, πετάω στους ουρανούς ως πιστοποιημένος επαγγελματίας χειριστής drone (A1/A3, A2). Οι περιπέτειές μου με ταξιδεύουν σε όλη την Ευρώπη, όπου συνδυάζω τη δουλειά μου με το πάθος μου για τα ταξίδια, αναζητώντας πάντα έμπνευση σε νέους τόπους και πολιτισμούς. Τα τελευταία πέντε χρόνια εξερευνώ επίσης τον συναρπαστικό και απρόβλεπτο κόσμο των κρυπτονομισμάτων ως επενδυτής. Ήταν ένα συναρπαστικό ταξίδι που με δίδαξε πολλά για τον κίνδυνο, τις ευκαιρίες και την διαρκώς εξελισσόμενη ψηφιακή οικονομία. Είτε πρόκειται για τα σύννεφα (εικονικά και κυριολεκτικά!) είτε για την περιήγηση στα τοπία του blockchain, με οδηγεί η περιέργεια και η ασταμάτητη αναζήτηση γνώσης. Ευχαριστώ που σταματήσατε εδώ—μη διστάσετε να επικοινωνήσετε και να συμμετάσχετε σε αυτό το ταξίδι!
Leave a Comment