Квишинг — форма фишинга, при которой мошенники используют QR-коды для обмана пользователей и кражи их конфиденциальных данных. Преступники осведомлены о том, что QR-коды часто сканируются на личных устройствах, не защищенных корпоративной безопасностью, и они активно используют этот факт в своих целях. На даркнетовских форумах мошенники и хакеры обмениваются методами создания поддельных QR-кодов и распространения их среди потенциальных жертв через популярные чаты и платформы. Аналитики из компании ReliaQuest предоставили тревожные статистические данные: за последние месяцы количество инцидентов с квишингом по всему миру выросло на порядок. Подробности — в материале «Известий».
По информации международной компании ReliaQuest, специализирующейся на защите крупных брендов от киберугроз, количество инцидентов с квишингом увеличилось за последние несколько месяцев на 100%. Причем рост настолько критичный, что за один только первый месяц осени было зарегистрировано на 51% больше инцидентов, связанных с фишингом через QR-коды, чем за весь предыдущий период с января по август текущего года.
В ReliaQuest отметили значительный рост интереса к данной киберпреступной тактике на специализированных хакерских форумах. В фокус внимания попали специализированные площадки, где пользователи обмениваются ссылками на генераторы QR-кодов, обходами защитных механизмов и советами по отправке QR-кодов.
В рамках этих атак злоумышленники обычно интересуются частными мобильными устройствами, которые используют программы для сканирования QR-кодов.
Методы, используемые мошенниками, включают в себя отправку фальшивых писем от реальных организаций, которые просят пользователей навести камеру на QR-коды для подтверждения личности, получения бонусов или отмены всевозможных штрафов. QR-коды также могут быть скрыты во вложениях, которые весьма сложно проверить на наличие вирусов. Мошенники также могут использовать домены, схожие с реальными, но содержащие при этом намеренные опечатки. После сканирования мошеннических QR-кодов пользователи перенаправляются на фишинговые сайты, предназначенные для кражи персональных данных.
— Дело в том, что пользователь, как правило, оценивает безопасность ссылки или QR-кода не по виду, а по отправителю и результату перехода, — говорит руководитель группы CERT-F.A.C.C.T. по защите от фишинга Иван Лебедев. — По сравнению со ссылкой QR-код, по сути, отличается только механикой — нужно отсканировать, а не кликнуть.
Основные риски использования QR-кодов заключаются в том, что они могут содержать абсолютно любую ссылку, которая до последнего момента скрыта. QR-код может вести на фишинговый или мошеннический ресурс, начать скачивание вредоносного файла, форму подтверждения трансакции, которую подстроили мошенники.
QR-код является лишь другим видом отображения ссылки на тот или иной вредоносный контент (файл, сайт, поддельные платежные формы). Отличие в том, что это еще один способ, во-первых, обойти фильтрацию средств защиты, а во-вторых, сделать ссылку более привлекательной для потенциальной жертвы, отмечает руководитель направления по информационной безопасности iTprotect Кай Михайлов.
— В первом случае использование QR-кода — один из способов обмануть модуль антифишинга, — говорит эксперт. — Чуть ранее для этого применялись, например, сервисы коротких ссылок, которые сокращали URL, маскируя реальный домен, а в письмах использовались всплывающие подсказки в виде ссылок, что помогало обойти даже некоторые антиспам-системы от ведущих вендоров.
В случае с мобильными устройствами современные ОС построены таким образом, что пользователь всё равно увидит адрес ссылки при наведении сканера и при должной внимательности может заподозрить неладное. Чтобы этого избежать, злоумышленники комбинируют разные способы, например, к самому QR-коду привязывается сокращенная ссылка, с которой потом происходит перенаправление не вредоносную.
— Во втором случае злоумышленники используют именно распространенность технологии, ее популярность, а также тот факт, что подменить QR-код, например, на упаковке товара в магазине гораздо проще, чем заменить текстовую ссылку, — говорит Кай Михайлов. — QR-код в данном случае выглядит для пользователя намного привлекательнее, чем ссылка на неизвестный ему домен.
Для владельцев смартфонов с популярными ОС, такими как Android, угроза квишинга возрастает, особенно если они скачивают приложения из ненадежных источников, отмечает директор центра противодействия мошенничеству компании «Информзащита» Павел Коваленко.
— Этот тренд также актуален для пользователей, ожидающих моментальных финансовых операций — например, тех, кто часто проводит банковские трансакции через мобильные устройства, — подчеркивает Павел Коваленко.
По его словам, уязвимость через QR-коды возрастает, когда пользователь сканирует код с ненадежных источников и пользуется неофициальными приложениями.
Для защиты руководитель исследовательской группы Positive Technologies Ирина Зиновкина рекомендует соблюдать базовые правила кибергигиены — не сканировать QR-коды от неизвестных источников и не оставлять свои конфиденциальные данные на непроверенных ресурсах.
Эксперт центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар» Александр Вураско рекомендует следующие методы защиты от подобных атак.
Первым делом — внимательность. Перед переходом по ссылке из QR-кода проверьте ее. А если уже перешли и попали на сайт, убедитесь в том, что он является легитимным. Избегайте скачивания и запуска мобильных приложений по QR кодам, размещенным на недоверенных площадках.
— Если QR-код используется для платежа, проверьте реквизиты и сумму перед подтверждением оплаты, — советует Александр Вураско. — Если QR-код используется каким-либо сервисом для внутренней идентификации или передачи данных об объекте (как в случае с арендой самокатов), используйте для сканирования кода оригинальное приложение сервиса.
Специалист компании «Доктор Веб» Александр Горячев рекомендует не сканировать QR-коды, полученные от незнакомцев через сообщения в мессенджерах.
— Если QR-код предназначен для перехода на веб-страницу, важно проверить URL-адрес целевого ресурса, — говорит собеседник. — Будьте внимательны к запросам на ввод конфиденциальных данных. Пароли, номера кредитных карт или сведения о личности — удостоверьтесь, что запрос официальный и ожидаемый, и не предоставляйте эти данные, если есть сомнения.
Эксперт компании «Доктор Веб» призывает включить функцию предварительного просмотра на устройстве, чтобы видеть, куда ведет QR-код, прежде чем он будет открыт. Не лишним будет использовать антивирус и регулярно обновлять операционку.
Эксперты напоминают не забывать и о следующих опасностях, подстерегающих тех, кто всё чаще пользуется криптовалютными транзакциями:
— фальшивые кошельки — QR-коды, ведущие на мошеннические приложения для хранения криптовалюты. Пользователь, сканируя такой код, случайно передает свои ключи доступа злоумышленникам;
— поддельные ICO: мошенники распространяют QR-коды, обещающие участие в первичном размещении монет, чтобы собрать средства. После сканирования кода человек сталкиваются с потерей средств;
— фишинговые веб-сайты: злоумышленники создали QR-коды, которые перенаправляют на фальшивые веб-сайты, выглядящие как официальные криптовалютные биржи. Здесь пользователи могут вводить свои учетные данные, а злоумышленники получают доступ к аккаунту;
— QR-коды в электронных письмах: хакеры внедрили QR-коды в фишинговые электронные письма, представляясь официальными запросами от криптовалютных сервисов. Пользователь, сканируя код, может быть перенаправлен на поддельный сайт.
