Quishing to metoda oszustwa internetowego, która wykorzystuje kody QR do wyłudzenia poufnych danych, takich jak dane logowania do bankowości elektronicznej czy numery kart kredytowych. Nazwa “quishing” powstała z połączenia słów “QR” i “phishing”.
Jak działa atak typu quishing?
Oto kilka potencjalnych scenariuszy:
- Parkometr miejski/automat biletowy/automat z przekąskami. Przestępca zakrywa prawidłowy kod QR własnym, przekierowując użytkownika do fikcyjnych bramek płatności.
- Bilety na wydarzenia zakupione online w niepewnych sklepach lub na aukcjach internetowych mogą zawierać fałszywy kod QR, rzekomo umożliwiający dostęp do wydarzenia. W przypadku takiego fałszywego biletu ochrona wydarzenia odmówi wstępu, co doprowadzi do strat finansowych i rozczarowania użytkownika.
- Fałszywy e-mail podszywający się pod zaufanego usługodawcę. Znanym przykładem jest użycie uwierzytelniania wieloskładnikowego dla Microsoft Office 365 lub platformy discord. Kod wygenerowany przez przestępców zamiast logować ofiarę do prawdziwej usługi, przekierowuje użytkownika na fałszywą stronę, gdzie jest proszony o podanie loginu i hasła. Taki atak sprytnie omija zabezpieczenia komputera i przenosi wektor ataku na urządzenie mobilne, które zazwyczaj ma słabsze zabezpieczenia niż komputer.
Jak się chronić przed quishingiem?
Aby skutecznie chronić się przed quishingiem, należy zachować czujność i ostrożność podczas korzystania z kodów QR. Unikaj skanowania kodów z nieznanych źródeł, takich jak podejrzane e-maile, SMS-y czy ulotki. Zawsze sprawdzaj adres strony internetowej, na którą zostajesz przekierowany po zeskanowaniu kodu QR, upewniając się, że jest to oficjalna strona zaufanej instytucji. Nigdy nie podawaj swoich danych osobowych ani finansowych na stronach, które wyglądają podejrzanie lub budzą jakiekolwiek wątpliwości. Regularne aktualizacje oprogramowania antywirusowego oraz korzystanie z dodatkowych zabezpieczeń, takich jak uwierzytelnianie dwuskładnikowe, również zwiększają poziom bezpieczeństwa i minimalizują ryzyko stania się ofiarą oszustwa.
Dodatkowe informacje znajdziesz na stronie: https://www.gov.pl/web/baza-wiedzy/quishing—oszustwo-z-wykorzystaniem-kodow-qr
