QRishing: מה זה, איך לזהות את הונאת קוד ה-QR, וכיצד להימנע מלהפוך לקורבן

  • QRishing היא הונאה דיגיטלית הולכת וגדלה המשתמשת בקודי QR מזויפים כדי לגנוב נתונים, להתחזות למישהו אחר או להתקין תוכנות זדוניות על מכשירים.
  • מניעה כוללת אימות מקור קודי QR, ניתוח כתובת ה-URL לפני הגישה אליהם ושימוש ביישומי סריקה מאובטחים והגנה מפני וירוסים.
  • התקפות QRishing משפיעות הן על יחידים והן על עסקים, ולכן הכשרה, מודעות וערנות מתמשכת הן המפתח למניעת הפיכה לקורבן.
Lorena Figueredo

6 דקות

מה זה QRishing וכיצד להימנע ממנו

ل קודי QR הם הפכו לכלי אוניברסלי לגישה לתפריטים דיגיטליים, יוזמות מסחריות, תשלומים, הגרלות וכל מיני שירותים. זה הביא נוחות ומהירות לחיי היומיום, אך גם פתח את הדלת לאיומים חדשים. אחד הגורמים הגדלים והמסוכנים ביותר הוא... QRishing o התחזות בקוד QRהכרת הסיכונים ולמידה כיצד להגן על עצמך מפני הונאה זו חיונית לכל משתמש דיגיטלי, עסק או איש מקצוע.

מה זה QRishing או Quishing?

פישינג QR

El QRishing, הידוע גם בשם מתנשא (שילוב של QR ופישינג), הוא סוג של גניבת זהות קודי QR. פושעי סייבר יוצרים קודי QR שנראים לגיטימיים, שכאשר סורקים אותם, הם מפנים את הקורבנות אל אתרי הונאה, להוריד תוכנות זדוניות או לבקש מידע רגיש כגון סיסמאות, פרטי גישה בנקאיים או מידע אישי.

ניתן להפיץ קודים אלה כמעט בכל מקום: על שלטי רחוב, שולחנות במסעדות, קמפיינים פרסומיים, חשבוניות, מיילים, הודעות מיידיות ואפילו כרטיסי ביקור. הם מנצלים במיוחד את האמון שניתן לעתים קרובות בקודי QR, מכיוון שהם אינם מבחינים ויזואלית בין קודי QR לגיטימיים לזדוניים.

QRishing מסוכן במיוחד למה:

  • לא ניתן לראות את הקישור שאליו מוביל קוד QR לפני סריקתו בעין בלתי מזוינת.
  • רוב האנשים סומכים על קודי QR בגלל השימוש היומיומי שלהם והמראה הניטרלי שלהם.
  • ניתן לקצר או להסוות כתובות URL, מה שמקשה על זיהוי אתרים הונאה גם לאחר סריקת הקוד.
  • פישינג באמצעות קוד QR יעיל מאוד הן בעולם הפיזי והן בקמפיינים דיגיטליים.

כיצד פועלת התקפת QRishing?

כיצד להימנע מהונאות QRishing באמצעות קוד QR

  1. יצירת קוד QR מזויףהתוקף מייצר קוד QR שתוכנת להפנות לכתובת URL מזויפת או זדונית. דף זה יכול להיות עותק זהה של בנק, קמעונאי או שירות אחר.
  2. הפצה פיזית או דיגיטליתהקוד מודפס על מדבקות, מונח מעל קודי QR לגיטימיים (למשל, על חניונים, אופניים ציבוריים, תפריטים או קמפיינים פרסומיים), נשלח בדוא"ל, ברשתות חברתיות או אפילו בוואטסאפ.
  3. הונאת הקורבןהמשתמש סורק את הקוד, במחשבה שהוא יועבר לשירות לגיטימי. אין אזהרה ויזואלית המצביעה על הסכנה.
  4. גניבה או שיבושייתכן שהקורבן יתבקש להזין נתונים אישיים, יתבקש להתקין קובץ זדוני מרומים, או פשוט יופנה לאתרים שנועדו לבצע הונאה פיננסית, פישינג או להדביק את המכשיר.

במקרים מסוימים, נעשה שימוש בטכניקות מתוחכמות יותר, כגון הוספת קודי QR לתקשורת רשמית, חשבוניות או טפסים שנראים כאילו מגיעים מחברות אמיתיות. ייתכן שהמתקפה אף מכוונת ללכידת נתוני חברה, גישה למערכות ארגוניות או גניבת אישורי עובדים.

סוגי קודי QR והשימוש בהם בהתקפות

ישנם בעיקר שני סוגים עיקריים של קודי QR:

  • סטָטִיאלה מכילים מידע קבוע, כלומר לא ניתן לשנות את התוכן לאחר יצירת הקוד. לדוגמה, קישור לאתר האינטרנט של מסעדה או כתובת דוא"ל.
  • דִינָמִיניתן לשנות את התוכן שאליו מצביע הקוד מבלי לשנות את המראה הפיזי של קוד ה-QR. זה שימושי במיוחד עבור קמפיינים שיווקיים, אך זה יכול להיות מנוצל גם על ידי תוקפים, שיכולים לשנות את כתובת ה-URL המקורית לכתובת הונאה לאחר הפצת הקוד.

קודי QR דינמיים מייצגים סיכון מוגבר אם הם לא מנוהלים כראוי, שכן לאחר ההפצה, היעד יכול להשתנות על ידי צד שלישי בעל גישה זדונית, מבלי שהמשתמש ישים לב.

תרחישים עיקריים ודוגמאות של QRishing

מתקפות QRishing מתפתחות ומסתגלות לסביבות חדשות. תרחישים נפוצים כוללים:

  • מדבקות קוד QR מקוריותנפוץ מאוד בחניונים, תחנות תחבורה, נתיבי אופניים ציבוריים ומסעדות. התוקף מציב מדבקה עם קוד QR זדוני מעל המדבקה הרשמית.
  • הונאה בפרסום או בקידום מכירותמחולקים חוברות, פוסטרים או פליירים עם קודי QR אטרקטיביים המבטיחים הנחות, הגרלות או מתנות כדי למשוך תשומת לב.
  • אימיילים והודעות מיידיותאימיילים הונאה הכוללים קוד QR ל"אימות חשבונך", "הורדת קובץ" או "הצטרפות להצעה דחופה".
  • חשבוניות מזויפותבמיוחד בסביבה העסקית, חשבוניות או הודעות תשלום נשלחות עם קודי QR מזויפים כדי "לבצע תשלום" או "לתבוע בונוס".
  • פישינג הפוך או "בקשת כסף": במקום להפנות את הקורבן לאתר זדוני, קוד ה-QR עשוי להיות מנוהל כך שבאמצעות אפליקציית תשלום, המשתמש ישלח כסף לנוכל, מתוך אמונה שהוא מבצע תשלום לגיטימי.

מקרה אמיתיבכמה ערים דווח על אנשים שאיבדו סכומי כסף משמעותיים לאחר שסרקו קודי QR במדחני חניה מניפולטיביים. התוקפים הדביקו מדבקה עם הקוד שלהם מעל המקור, ומשתמשים בסופו של דבר הזינו את פרטיהם באתר אינטרנט מזויף.

השלכות של קורבן של QRishing

ההשלכות של מתקפת QRishing יכולות להיות חמורות כמו כל סוג אחר של פישינג, או אפילו יותר, מכיוון שהן משלבות טכניקות הנדסה חברתית עם הקושי בזיהוי חזותי של ההונאה.

  • גניבת אישוריםגישה לחשבונות בנק, רשתות חברתיות, מיילים, פלטפורמות עסקיות וכו'.
  • הפסד כלכליתשלומים מזויפים, העברות לא מורשות, רכישות באתרים הונאה.
  • התקנת תוכנות זדוניותקוד QR יכול להפעיל הורדה אוטומטית של קובץ או אפליקציה זדוניים, במיוחד אם הוא מותר במכשיר.
  • התחזותניתן להשתמש בנתונים גנובים לביצוע פשעים אחרים, הונאה, רכישות או פתיחת חשבונות על שם הקורבן.
  • פגיעה במוניטיןהן ברמה האישית והן ברמה העסקית, אם הנתונים בסופו של דבר נמצאים בשימוש או דולפים באינטרנט או ברשת האפלה.

נתונים מתפתחים וצמיחה

התקפות QRishing גדלות באופן אקספוננציאלי, ודוחות בינלאומיים בתחום אבטחת הסייבר מזהירים מפני אלפי מתקפות מדי יום. חברות כמו Barracuda רשמו שיאים של עד 1.100 מתקפות QRishing ביום ברחבי העולם, כאשר המספרים עולים בהתמדה. יתר על כן, חברות רבות דיווחו על הפסדים כספיים משמעותיים עקב הונאות מסוג זה.

לפי מומחי אבטחת סייבר, יותר מ-70% מההונאות הנוכחיות בסביבות פיזיות ודיגיטליות משתמשות בקודי QR כפיתיון העיקרי..

למה כל כך קשה לזהות קוד QR זדוני?

הקושי בזיהוי קודי QR מזויפים טמון בעובדה ש:

  • מבחינה ויזואלית, קוד QR לגיטימי והונאה נראה זהה למשתמש הממוצע.
  • הקישור שאליו מצביע קוד ה-QR אינו גלוי לעין בלתי מזוינת, ודפדפנים ניידים לרוב אינם מציגים מספיק מידע על כתובת URL או שכתובת ה-URL מקוצרת.
  • תוקפים משתמשים לעתים קרובות בקמפיינים של הנדסה חברתית כדי להגביר את הדחיפות או הביטחון בפעולות (תשלומים, קידומים, מצבי חירום בנקאיים).
  • הכשרה באבטחת מכשירים ניידים ובאבטחת סייבר היא בדרך כלל נמוכה יותר מאשר בסביבות עסקיות אחרות.

כיצד להגן על עצמך מפני QRishing: אסטרטגיות וטיפים יעילים

אפשר להגן על עצמך מפני QRishing אם תאמץ הרגלי בטיחות ושיטות עבודה מומלצות מיושמות הן ברמה האישית והן ברמה העסקית. להלן ההמלצות המקיפות והעדכניות ביותר:

  • יש לוודא תמיד את מקור קוד ה-QRאם הקוד נמצא במקום ציבורי, מודבק במקום אחר, על עלון חשוד או נשלח על ידי איש קשר לא ידוע, היזהרו לפני סריקתו.
  • שימו לב למניפולציות אפשריותלפני הסריקה, בדקו אם קוד ה-QR הוא מדבקה המודבקת מעל הקוד המקורי או שיש בו נזק, כתמים או סימני חבלה.
  • הפעלת תצוגה מקדימה של כתובת URLרוב המכשירים מציגים את כתובת האינטרנט לפני פתיחתה. קחו רגע לנתח האם כתובת האתר נראית לגיטימית, מכילה שגיאות כתיב, שמות מוזרים או תת-דומיינים חשודים.
  • לעולם אל תזין נתונים אישיים או אישורים לאחר סריקת קוד QR.אם אתר אינטרנט מבקש מידע רגיש וגשת אליו באמצעות קוד QR, ודא שהדומיין רשמי וחפש את המנעול "https://". אם יש לך ספקות, אל תמלא את הטופס.
  • הימנעו מהורדות אוטומטיות של קבצי .apk או קבצים דומיםקבצים שהורדו לאחר הסריקה עשויים להכיל תוכנות זדוניות. יש להתקין אפליקציות רק מחנויות רשמיות (Google Play, App Store וכו').
  • השתמשו באפליקציות סריקה בטוחות ובעלות מוניטיןישנן אפליקציות שמנתחות כתובות URL וחוסמות גישה אם הן מזהות סיכונים ידועים. דוגמאות לכך כוללות סורקים המשולבים בחבילות אבטחה כמו Panda Dome או פתרונות ספציפיים שאושרו.
  • עדכן את המכשיר שלךיש להחיל את כל עדכוני מערכת ההפעלה והאפליקציות, מכיוון שלעתים קרובות הם כוללים תיקוני אבטחה המקשים על ניצול פגיעויות.
  • התקנה ועדכון של תוכנת הגנה מפני אנטי-וירוסאנטי-וירוס מעודכן יכול לזהות קישורים חשודים, הורדות תוכנות זדוניות ואפילו לסרוק את יעד קוד ה-QR לפני פתיחתו.
  • היזהרו מהצעות אטרקטיביות מדימבצעים, הגרלות או מתנות ש"טובות מכדי להיות אמיתיות" משמשים לעתים קרובות כווים ללכידת נתונים או כסף.
  • לפתח תרבות של אבטחה דיגיטליתליידע ולחנך את הסובבים אותך לגבי הסיכונים של QRishing, לשתף שיטות עבודה מומלצות ולעזור להם לזהות איומים.

כיצד להגן על העסק שלך מפני QRishing

  • סקירה ושמירה על קודי QR פיזייםאם אתם משתמשים בקודי QR המודפסים על פוסטרים, תפריטים או מבצעים, בדקו מדי יום שהם לא הוחלפו בתוויות הונאה.
  • השתמשו בגנרטורים וסורקים של QR מוסמכיםחיוני להשתמש בכלים המציעים ערבויות אבטחת סייבר, הצפנת נתונים והגנה מפני שינוי בלתי מורשה.
  • הצפנה ואבטחה של כל כתובות היעד באמצעות HTTPSתמיד יש להפנות לכתובות מאובטחות (HTTPS) ולנסות להתאים אישית את הדומיין כדי ליצור אמון.
  • הדרכת העובדים שלך: כלול הכשרה ספציפית בנושא QRishing בתוכניות מודעות לאבטחת סייבר. על הצוות להיות מסוגל לזהות שינויים או שיבושים בקודים.
  • הטמעת אימות רב-גורמי (MFA)מומלץ במיוחד אם קודי ה-QR מצביעים על פורטלים פנימיים, מערכות או שירותים פיננסיים. הוספת שכבה שנייה של אימות מקשה על התקפה.
  • הימנע מחשיפה מיותרתאין להשתמש בקודי QR למידע קריטי או גישה אליהם אלא אם כן הדבר חיוני לעסק.

מה לעשות אם היית קורבן של QRishing

  • אל תיכנס לפאניקהפעלו מהר אבל עם הראש.
  • שנה את כל הסיסמאות שלך באופן מיידי המשויכים לשירותים שבהם הזנת נתונים לאחר סריקת קוד ה-QR.
  • צור קשר עם הבנק או המוסד הפיננסי שלךדווחו על התקרית ובקשו לחסום או לנטר את חשבונותיכם.
  • הסר יישומים או קבצים חשודיםאם הורדת משהו לאחר הסריקה, מחק אותו והרץ סריקת תוכנות זדוניות במכשיר שלך.
  • דווח על הונאההודע לרשויות הרלוונטיות, לחברה ממנה נגנבה זהותך, ושתף את חווייתך כדי להזהיר אחרים.

שאלות נפוצות על QRishing וקודי QR

  • האם זה בטוח לסרוק קוד QR כלשהו? לא, עליך לסרוק קודי QR רק ממקורות מהימנים, תוך ודאו תמיד שלא טופלו בהם או שהם הונחו במקומות חשודים.
  • איך אני יכול לדעת אם קוד QR הוא זדוני? נתח את כתובת ה-URL המוצגת לאחר הסריקה והשתמש בקורא מאובטח. אם האתר נראה חשוד או מבקש מידע סודי, סגור את הדף ואל תמשיך.
  • איזה סוג מידע מחפשים התוקפים? בעיקר פרטי כניסה, פרטי בנק, מידע אישי, ובעולם העסקים, גישה למערכות פנימיות או לנתוני עובדים.
  • האם ניתן להתקין וירוס רק על ידי סריקת קוד QR? קוד ה-QR עצמו מכיל רק מידע, אך הוא יכול להפנות אותך לאתר אינטרנט או ליזום הורדה של תוכנה זדונית. לעולם אל תתקין קבצי .apk לא מאומתים מחוץ לחנויות רשמיות.
  • האם QRishing משפיע רק על מכשירים ניידים? לא, כל מכשיר עם מצלמה וגישה לאינטרנט יכול להיות פגיע, כולל טאבלטים, מחשבים ניידים ומחשבים שולחניים, אם נעשה שימוש במערכת סריקת QR.

כלים ומשאבים שימושיים להגנה מתקדמת

  • יישומי סריקה מאובטחיםהשתמשו באפליקציות בעלות מוניטין עם יכולות ניתוח קישורים בזמן אמת.
  • שירותי ניתוח קישורים מקווניםלפני הגישה לכתובת ה-URL, ניתן להעתיק אותה ולנתח אותה באמצעות VirusTotal או שירותים דומים אחרים.
  • מנהלי סיסמאות חזקיםהשתמשו במנהלים שיוצרים ומאחסנים סיסמאות מאובטחות כדי להימנע משימוש בסיסמאות כפולות בפלטפורמות שונות.
  • סורקי רשת אפלהכלים ייעודיים מאפשרים לך לזהות אם האישורים שלך נחשפו לאחר מתקפה.
  • עדכונים אוטומטיים ומערכות אבטחה משולבות: הגדר את המכשירים שלך לקבלת עדכונים וסרוק את המערכת שלך מעת לעת לאיתור פגיעויות.

אבטחת QR-Rishing

התקדמות ה-QRishing משקפת את האופן שבו פושעי סייבר מתפתחים, ומסתגלים להרגלים הדיגיטליים והפיזיים של החברה. מה שהחל כפתרון חדשני לתשלומים, זיהוי ומידע ציבורי הוא כעת גם שער להונאה ולהפסד כספי. לכן, מעבר לכלים הטובים ביותר, מניעה וחינוך ממלאים תפקיד מהותי.

אין צורך לוותר על טכנולוגיית QR., אך התאם את עצמך והיה זהיר. בדוק תמיד את מקור קוד ה-QR, שמור על המכשירים שלך מעודכנים, היזהרו מהצעות אטרקטיביות מדי, ומעל הכל, אל תשתפו מידע פרטי בקלות ראש. על ידי ערנות ופעולה יזומה, אנו ממזערים את הסיכון ליפול קורבן להונאות מסוג זה.

קודי QR כאן כדי להישאר, אבל בעזרת מידע, חינוך ושיטות עבודה מומלצות, אפשר ליהנות מהיתרונות של קודי QR מבלי לחשוף את עצמנו לסכנה מיותרת.