Co je to QR Code pishing

QR kódy se staly každodenním nástrojem pro rychlý přístup k webovým stránkám nebo digitálním menu restaurací, k provádění online plateb či využívání všech typů digitálních služeb. Kyberzločinci však tuto výhodu zneužili k vytvoření nové útočné techniky, která je stále běžnější a může postihnout jakéhokoli uživatele: phishing s QR kódy. Tento typ podvodu kombinuje technologické klamání a manipulační techniky, aby uživatele přiměl k naskenování škodlivého kódu. Tímto způsobem se oběti mohou dostat na falešnou stránku, která jim ukradne osobní údaje, bankovní přihlašovací údaje nebo nainstaluje malware do jejich zařízení. Cena za to může být vysoká: ztráta peněz, krádež identity nebo neoprávněný přístup k důležitým účtům. A obětí se může stát kdokoli. Stačí naskenovat nebo přečíst kód vygenerovaný kyberzločincem.

Co je phishing QR kódů? 

Phishing QR kódů je technika kybernetického podvodu, při které útočníci používají škodlivé QR kódy k oklamání uživatelů a přesměrování na podvodné webové stránky. Tyto kódy mohou vypadat legitimně, ale jejich skenování může uživatele přesměrovat na falešné stránky napodobující banky, platební platformy nebo sociální sítě. Jejich cílem je ukrást přihlašovací údaje, finanční údaje nebo osobní údaje.

Co činí tuto hrozbu tak nebezpečnou, je to, že QR kódy neukazují, kam vás zavedou, dokud nejsou naskenovány. Tato nedostatečná viditelnost dává kyberzločincům výhodu v maskování škodlivých odkazů, aniž by vzbudily podezření. Tyto kódy jsou obvykle umístěny na fyzických místech, jako jsou cedule, stoly v restauracích nebo čerpací stanice, ale mohou být také distribuovány prostřednictvím e-mailových zpráv nebo sociálních médií. 

Jak fungují phishingové útoky s QR kódem 

Phishingové útoky s QR kódem se skládají z několika fází:

1. Vytvoření škodlivého kódu: Útočník vygeneruje QR kód, který uživatele přesměruje na podvodnou URL adresu, která má vypadat legitimně. Někdy může také přesměrovat na stahování podvodných aplikací.
2. Distribuce kódu: Tento kód lze vytisknout a umístit na veřejná místa, nalepit na legitimní kódy, zaslat fyzickou poštou nebo zahrnout do digitálních spamových kampaní.
3. Zajetí oběti: Oběť naskenuje kód svým chytrým telefonem v domnění, že se dostane na důvěryhodný web.
4. Krádež dat: Falešný web požaduje osobní nebo finanční informace, které jsou odeslány přímo útočníkovi.
5. Důsledky: Ukradené informace lze použít k vydávání se za identitu oběti, vyprázdnění jejích bankovních účtů nebo k prodeji na dark webu. 

Útočníci navíc tyto techniky přizpůsobují tak, že zahrnou umělou inteligenci, čímž se jejich podvody stávají ještě přesvědčivějšími. Proto je nezbytné kombinovat opatrnost v reálném světě s pokročilými řešeními kybernetické bezpečnosti, která dokáží reagovat na kybernetické hrozby poháněné umělou inteligencí. 

Reálné příklady phishingu s QR kódy 

Phishingové útoky s QR kódy nejsou jen teoretickým rizikem; již k nim došlo a jejich počet roste. Například ve Švýcarsku skupina kyberzločinců použila falešné poštovní dopisy, které vypadaly, že pocházejí od vládních organizací. Tyto dopisy obsahovaly QR kódy, které přesměrovávaly oběti na falešné stránky, kde byly požádány o zadání svých bankovních údajů.

Další incident ukázal, jak kyberzločinci používají QR kódy vytištěné na reklamních materiálech k přesměrování uživatelů na falešné soutěže nebo propagační akce. Když se uživatelé zúčastní, nakonec dobrovolně poskytnou podvodníkům osobní údaje.

Podvody byly zdokumentovány také na místech, jako jsou parkoviště nebo čerpací stanice, kde jsou samolepky s falešnými kódy přelepeny přes skutečné. V těchto případech se oběti domnívají, že platí za parkování, ale ve skutečnosti útočníkovi poskytují své bankovní informace. Finanční dopad může být značný: Byly hlášeny případy, kdy oběti po naskenování podvodného QR kódu přišly až o 14 000 eur.

Tyto útoky demonstrují rostoucí sofistikovanost phishingu s QR kódy a naléhavou potřebu přijmout preventivní opatření. 

Jak se chránit

Používejte na svých zařízeních bezpečnostní software s filtrováním obsahu, který kontroluje odkazy a přílohy a blokuje přístup k podezřelým položkám. Dále jsou uvedena další preventivní doporučení: (Pozn. red.: Jelikož originální článek jsme převzali od společnosti Panda Security, jsou zde uváděny především jejich nástroje. Není to reklama, pouze příklad možného řešení, čtenář si jistě sám najde další možnosti.)

Abyste se před touto hrozbou chránili, je zásadní přijmout preventivní opatření jak ve fyzickém, tak v digitálním prostředí.

1. Používejte aplikace pro bezpečné skenování

Například  Secure QR Scanner (je součástí Panda Dome, je k dispozici pro iOS a Android). Tento nástroj vám umožňuje bezpečně skenovat QR kódy před otevřením odkazů a automaticky blokovat ty, které jsou považovány za škodlivé. 

2. Ověřte zdroj QR kódů

Před skenováním kódu zhodnoťte, zda se jeví jako legitimní. Dávejte si pozor na kódy umístěné na podezřelých místech nebo přes jiné kódy. 

3. Po skenování QR kódu nezadávejte citlivé údaje

Pokud jste po skenování QR kódu požádáni o poskytnutí důvěrných informací, jako jsou hesla, bankovní údaje nebo přihlašovací údaje, zastavte a ověřte URL adresu. 

4. Udržujte svá zařízení aktualizovaná

To vám pomáhá chránit se před zranitelnostmi, které mohou útočníci zneužít. 

5. Povědomí a školení

Vzdělání se o rizicích phishingu je jednou z nejlepších obran. Vzdělávací zdroje naleznete např. na blogu Panda Security. 

Prevence je nejlepší obranou 

Nárůst phishingu QR kódů odráží to, jak se kyberzločinci rychle přizpůsobují našim digitálním a fyzickým rutinám. Kdysi rychlý a bezpečný způsob přístupu ke službám je nyní branou k podvodům, krádeži identity a finančním ztrátám.

Proto vždy, i po instalaci a používání vhodných technologických nástrojů, je vaší nejlepší obranou prevence a vzdělávání. Pokaždé, když naskenujete QR kód, se rozhodujete o důvěře. Ujistěte se, že tato důvěra je podpořena nástroji určenými k vaší ochraně. 

Často kladené otázky o phishingu QR kódů 

Je bezpečné skenovat jakýkoli QR kód?

Ne. Mnoho QR kódů je bezpečných, ale kyberzločinci je mohou použít k přesměrování uživatelů na falešné stránky nebo k instalaci malwaru.

Jak zjistím, zda je QR kód škodlivý?

Zda je URL adresa škodlivá, nelze zjistit pouhým jejím zobrazením. Navíc se stále častěji používá zkrácená URL adresa, která nevzbuzuje podezření. Dávejte si pozor na QR kódy na neobvyklých místech nebo na ty, které nepocházejí z důvěryhodného zdroje.

Co mám dělat, když naskenuji podezřelý QR kód?

Okamžitě zavřete webovou stránku bez zadávání jakýchkoli osobních údajů a spusťte bezpečnostní kontrolu svého zařízení. Změňte si hesla, pokud se domníváte, že jste se mohli stát obětí phishingu.

Jaké typy informací se zločinci snaží ukrást pomocí QR kódů?

Hlavně přihlašovací údaje (jako jsou e-mailové adresy a hesla), bankovní údaje, osobní údaje a dokonce i přístupové údaje k firemním sítím.

Mohou QR kódy automaticky instalovat viry do mého mobilního zařízení?

Samotné QR kódy nemohou automaticky instalovat viry do vašeho mobilního zařízení. Mohou vás však přesměrovat na škodlivé webové stránky nebo spustit stahování aplikací, které obsahují malware. Nikdy nic nestahujte z podezřelých odkazů.

Ovlivňuje phishing QR kódů pouze mobilní zařízení?

Phishing s QR kódy se neomezuje pouze na mobilní zařízení. Může postihnout jakékoli zařízení schopné skenovat QR kódy, přistupovat k internetu a zařízení s fotoaparátem (včetně tabletů, notebooků a stolních počítačů). 

Společnost Panda Security uvedla na trh dokonalý nástroj, jak se těmto problémům vyhnout: Secure QR Scanner. Secure QR Scanner je bezpečná čtečka QR kódů, která je součástí Panda Dome a je k dispozici pro iOS i Android.

Tento nástroj vám umožňuje skenovat QR kódy před otevřením odpovídajících odkazů a automaticky blokovat ty, které jsou považovány za škodlivé. 

Zdroj: Zpráva společnosti Panda Security What Is QR Code Phishing? - Panda Security