Quishing: Jak Phishing Wykorzystuje Kody QR do Kradzieży Danych?

Przez /

Tradycyjny phishing kojarzy nam się głównie z fałszywymi e-mailami i SMS-ami zawierającymi podejrzane linki. Jednak cyberprzestępcy nieustannie szukają nowych metod ataku, wykorzystując popularne technologie. Jednym z takich nowszych zagrożeń jest quishing – czyli phishing realizowany za pomocą wszechobecnych kodów QR. Ze względu na wygodę i często bezrefleksyjne skanowanie tych kodów, quishing staje się coraz popularniejszym narzędziem w rękach oszustów.

Grafika ostrzegająca przed quishingiem - phishingiem z użyciem kodów QR

Co to Jest Quishing i Jak Działa Ten Atak?

Quishing to połączenie słów QR (Quick Response) i phishing. Jest to technika socjotechniczna, w której atakujący używa kodu QR, aby nakłonić ofiarę do odwiedzenia złośliwej strony internetowej, pobrania malware lub ujawnienia poufnych informacji. 

Tworzenie Złośliwego Kodu QR

Atakujący generuje kod QR, który zamiast prowadzić do legalnej strony, zawiera link do: 

  • Fałszywej strony logowania: Imitującej np. bank, portal społecznościowy, pocztę e-mail.
  • Strony wyłudzającej dane (phishing page): Proszącej o podanie danych osobowych, karty kredytowej pod pretekstem np. promocji.
  • Strony dystrybuującej malware: Inicjującej pobranie wirusa, trojana, infostealera.
  • Innych złośliwych akcji: Np. wysłania SMS premium, dodania fałszywego kontaktu.

Metody Dystrybucji Złośliwych Kodów QR

Oszuści umieszczają spreparowane kody QR tam, gdzie mogą zostać łatwo zeskanowane:

  • W świecie fizycznym: Najbardziej podstępna metoda. Fałszywe naklejki z kodami QR są umieszczane na legalnych kodach w miejscach publicznych:
    • Parkometry, automaty biletowe, stacje ładowania pojazdów.
    • Menu w restauracjach, plakaty reklamowe, ulotki.
    • Przystanki autobusowe, a nawet opakowania produktów. Przestępcy liczą na nasz pośpiech i brak czujności w takich sytuacjach.
  • W świecie cyfrowym: Kody QR są wysyłane w:
    • Wiadomościach e-mail: Jako obrazki lub w załącznikach PDF/Word, często w fałszywych powiadomieniach o konieczności weryfikacji konta (np. Microsoft 365), aktualizacji polityki, itp.
    • SMS-ach i komunikatorach: Podobnie jak linki w smishingu.
    • Postach na mediach społecznościowych: Np. w fałszywych konkursach czy promocjach.

Skanowanie i Realizacja Ataku

Użytkownik, ufając kontekstowi (np. oficjalny plakat) lub przynęcie (np. atrakcyjna oferta), skanuje kod QR smartfonem. Aplikacja skanująca odczytuje ukryty URL i najczęściej automatycznie otwiera go w przeglądarce. W ten sposób ofiara trafia na złośliwą stronę lub inicjuje pobieranie malware, często nie zdając sobie z tego sprawy.

Dlaczego Quishing Jest Szczególnie Niebezpieczny?

Ataki wykorzystujące kody QR stanowią specyficzne wyzwanie:

  • Maskowanie URL: Kod QR to tylko obrazek – nie widzimy docelowego adresu URL przed zeskanowaniem, co utrudnia ocenę ryzyka.
  • Omijanie Filtrów E-mail: Tradycyjne filtry bezpieczeństwa poczty skupiają się na analizie tekstu i linków. Kod QR jako obraz może łatwo ominąć te zabezpieczenia, zwłaszcza ukryty w załączniku PDF.
  • Atak na Urządzenia Mobilne: Skanujemy głównie smartfonami, które bywają gorzej chronione niż komputery firmowe i często zawierają mnóstwo wrażliwych danych oraz dostępów.
  • Zaufanie i Wygoda: Przyzwyczailiśmy się do kodów QR jako szybkiego i wygodnego narzędzia, przez co często skanujemy je bez głębszego zastanowienia.

Realne Przykłady Ataków Quishingowych

Oszuści wykorzystują kody QR w bardzo kreatywny sposób. Oto kilka przykładów, które miały miejsce w Polsce i na świecie:

  • Oszustwa na parkingach/automatach: Naklejanie fałszywych kodów QR na parkometrach czy automatach biletowych, kierujących do fałszywych stron płatności. Oszustwo na parkingach
  • Fałszywe rachunki: E-maile udające faktury za media czy subskrypcje z kodem QR do „szybkiej płatności”.
  • Fałszywe weryfikacje kont: E-maile od rzekomego Microsoftu, banku czy firmy kurierskiej z kodem QR prowadzącym do fałszywej strony logowania („Potwierdź swoje konto”, „Zresetuj hasło”).
  • Fałszywe promocje/nagrody: Kody QR na plakatach czy w social mediach obiecujące zniżki lub darmowe produkty w zamian za podanie danych.
  • Fałszywe aplikacje: Kody QR zachęcające do pobrania aplikacji spoza oficjalnych sklepów, która okazuje się malwarem.
  • Fałszywe kody QR w miejscach pracy: Umieszczane np. na tablicy ogłoszeń pod pretekstem ankiety pracowniczej, prowadzące do wyłudzenia firmowych danych logowania.

Jak Chronić Się Przed Quishingiem? Najważniejsze Zasady

Obrona przed quishingiem wymaga przede wszystkim ostrożności i świadomego podejścia do skanowania kodów QR:

  1. Bądź Sceptyczny: Nie ufaj kodom QR z nieznanych lub nieoczekiwanych źródeł (e-maile, SMS-y, ulotki). Szczególnie uważaj na kody w miejscach publicznych – sprawdź, czy nie jest to naklejka nałożona na oryginalny kod.
  2. Weryfikuj Źródło: Jeśli masz wątpliwości co do autentyczności kodu (np. na plakacie w restauracji), zapytaj obsługę lub sprawdź informację na oficjalnej stronie firmy.
  3. Używaj Bezpiecznych Skanerów (jeśli możliwe): Niektóre aplikacje do skanowania kodów QR (lub funkcje wbudowane w system telefonu) pokazują podgląd adresu URL przed jego otwarciem. Pozwala to na wstępną weryfikację linku.
  4. Nie Podawaj Danych Pochopnie: Jeśli po zeskanowaniu kodu trafisz na stronę proszącą o login, hasło, dane karty czy inne wrażliwe informacje – bądź skrajnie ostrożny! Najprawdopodobniej jest to oszustwo.
  5. Uważaj na „Pilne Okazje”: Kody QR obiecujące niesamowite nagrody lub wymagające natychmiastowego działania często są pułapką.
  6. Zabezpiecz Urządzenie Mobilne: Używaj oprogramowania antywirusowego na smartfonie i dbaj o aktualizacje systemu oraz aplikacji.
  7. Edukacja i Świadomość: Wiedza o tym, jak działa quishing, jest najlepszą obroną. Dziel się nią z innymi!

Kody QR to wygodne narzędzie, ale jak każda technologia, mogą być wykorzystywane przez cyberprzestępców. Quishing to realne zagrożenie, przed którym możemy się jednak skutecznie bronić dzięki ostrożności i krytycznemu myśleniu. Nie skanuj bez zastanowienia i zawsze weryfikuj, dokąd prowadzi kod QR, zanim podasz jakiekolwiek dane.

Chcesz dowiedzieć się więcej o nowych technikach phishingu i innych zagrożeniach? Potrzebujesz przeszkolić swój zespół, aby był świadomy ryzyka związanego z kodami QR i nie tylko? Sprawdź naszą ofertę szkoleń lub skontaktuj się z nami.

Przewijanie do góry