Καθυστερείτε για μια συνάντηση. Η κίνηση στους δρόμους είναι ένα δράμα, και νιώθετε το άγχος να σας κατακλύζει καθώς περνούν τα δευτερόλεπτα. Τελικά, βρίσκετε μια θέση στάθμευσης. Τραβάτε το χειρόφρενο και βγαίνετε από το αυτοκίνητο, τρέχοντας προς τον παρκόμετρο. Παλεύετε με το κινητό σας για να ανοίξετε την εφαρμογή ανάγνωσης QR και να σαρώσετε τον κωδικό του παρκόμετρου. Εισάγετε τα στοιχεία της πιστωτικής σας κάρτας για να πληρώσετε για μία ώρα και τρέχετε στη συνάντησή σας.
Αυτό που δεν γνωρίζετε είναι ότι μόλις πέσατε θύμα quishing—phishing μέσω QR code—και οι επιτιθέμενοι έχουν εξαντλήσει το υπόλοιπο της πιστωτικής σας κάρτας.
Πώς λειτουργεί το quishing;
Το quishing είναι ένας αναδυόμενος τύπος phishing επίθεσης που εκμεταλλεύεται τους QR κωδικούς. Είναι απλά μια άλλη μορφή κοινωνικής μηχανικής. Αντί να ξεκινήσει με ένα phishing email ή μια τηλεφωνική κλήση για να σας εξαπατήσουν ώστε να παραδώσετε τα στοιχεία σας, χρησιμοποιεί QR κωδικούς ως μέσο επίθεσης. Ένας ψεύτικος QR κωδικός σας κατευθύνει σε έναν κακόβουλο ιστότοπο, όπου οι επιτιθέμενοι σας πείθουν να παραδώσετε ευαίσθητες πληροφορίες, όπως τα στοιχεία σύνδεσής σας ή τα οικονομικά σας δεδομένα.
Στο παράδειγμα που περιγράφεται παραπάνω, αντί να σαρώσετε τον νόμιμο QR κωδικό του παρκόμετρου, σαρώσατε έναν κακόβουλο κωδικό που ο επιτιθέμενος τοποθέτησε προσεκτικά πάνω από τον πραγματικό. Δεν εισάγετε τα στοιχεία της πιστωτικής σας κάρτας στη νόμιμη πύλη του παρκόμετρου, αλλά τα παραδίδετε απευθείας στους επιτιθέμενους.
Το quishing δεν είναι προϊόν επιστημονικής φαντασίας αλλά πλέοον αποτελεί μία πραγματική απειλή και χρειάζεται να προστατεύσουμε τόσο τον εαυτό μας όσο και τους χρήστες μας από αυτήν. Όπως στο παράδειγμα, αυτές οι επιθέσεις μπορεί να ξεκινήσουν στον φυσικό κόσμο, αλλά μπορούν επίσης να φτάσουν σε εμάς στον ψηφιακό χώρο, όπως όταν λαμβάνουμε έναν QR κωδικό στο email μας ή όταν ένας ιστότοπος μας ζητά να σαρώσουμε έναν κωδικό.
Από την οπτική του επιτιθέμενου, ένα από τα πλεονεκτήματα του quishing είναι ότι μπορεί να είναι πιο εύκολο να ξεγελάσει τους στόχους του. Αυτές οι επιθέσεις δεν είναι ακόμη πολύ συχνές, και πολλοί άνθρωποι δεν είναι εξοικειωμένοι με αυτές. Αντίθετα, οι χρήστες λαμβάνουν phishing emails εδώ και δεκαετίες. Οι περισσότεροι από εμάς είμαστε κάπως επιφυλακτικοί και γνωρίζουμε κάποιες αμυντικές τεχνικές, όπως το να ελέγχουμε αν η διεύθυνση email του αποστολέα είναι έγκυρη ή να διασταυρώνουμε μια ύποπτη URL με τον επίσημο ιστότοπο του οργανισμού. Η καινοτομία των επιθέσεων quishing σημαίνει ότι πολλοί από εμάς δεν έχουμε αναπτύξει ακόμα τέτοιες άμυνες.
Πώς να προστατευτείτε από το quishing;
Η ενημέρωση και η εκπαίδευση είναι βασικές προτεραιότητες για την άμυνα κατά του quishing. Πολλοί χρήστες μπορεί να μην έχουν ακούσει ποτέ για αυτές τις επιθέσεις, οπότε δεν θα γνωρίζουν ότι πρέπει να είναι προσεκτικοί όταν χρησιμοποιούν QR code readers. Η εκπαίδευση των εργαζομένων στην οργάνωσή σας για την απειλή αυτή και μερικά μέτρα άμυνας θα μειώσει σημαντικά τον κίνδυνο.
Μια άλλη επιλογή είναι η ανάπτυξη εργαλείων σάρωσης email που μπορούν να αποκωδικοποιήσουν QR κωδικούς και να ανιχνεύσουν αν ένας ιστότοπος είναι πιθανώς κακόβουλος.
Τέλος, τα μέτρα που χρησιμοποιούμε για να αποτρέψουμε τις παραδοσιακές phishing επιθέσεις είναι επίσης χρήσιμα. Όπως ενημερώνουμε τους χρήστες να μην κάνουν κλικ σε ύποπτους συνδέσμους, πρέπει να τους διδάξουμε να μην σαρώνουν αναξιόπιστους QR κωδικούς. Εάν σαρώνουν έναν QR κωδικό, θα πρέπει να ελέγχουν αν το URL που εμφανίζεται είναι ύποπτο.
Η υιοθέτηση πολυπαραγοντικής αυθεντικοποίησης (MFA) θα βοηθήσει επίσης στην αποτροπή παραβίασης λογαριασμών, ακόμη κι αν κάποιος πέσει θύμα quishing.
Είναι πάντα καλύτερο να εφαρμόζουμε πολυεπίπεδη άμυνα που μπορεί να περιορίσει τις συνέπειες από τέτοιες επιθέσεις.