CNBC - «Quishing»: Όταν οι QR κωδικοί γίνονται παγίδα για εκατομμύρια Αμερικανούς
Κάποτε ήταν μια τεχνολογική περιέργεια – οι QR κωδικοί σάρωσης με το κινητό προσέφεραν μια διασκεδαστική εμπειρία: σε ένα μουσείο, μπορούσες να μάθεις περισσότερα για τις διατροφικές συνήθειες του μαμούθ ή τις στρατηγικές του Τζένγκις Χαν. Στην πανδημία, έγιναν το βασικό μέσο για να διαβάσεις το μενού σε ένα εστιατόριο.
Πλέον, όμως, οι QR κωδικοί έχουν ενσωματωθεί σε κρίσιμες καθημερινές λειτουργίες, από τις κάρτες επιβίβασης μέχρι την πληρωμή για πάρκινγκ — και οι κυβερνοεγκληματίες δεν άργησαν να εκμεταλλευτούν αυτή την εξάπλωση.
«Όπως συμβαίνει με πολλές τεχνολογικές εξελίξεις που ξεκινούν με αγαθές προθέσεις, οι QR κωδικοί έχουν πλέον γίνει στόχος κακόβουλης χρήσης. Επειδή βρίσκονται παντού — από αντλίες βενζίνης και πινακίδες αυλής μέχρι τηλεοπτικές διαφημίσεις — είναι ταυτόχρονα χρήσιμοι αλλά και επικίνδυνοι», εξηγεί ο Ντάστιν Μπρούερ, διευθυντής κυβερνοασφάλειας στην εταιρεία BlueVoyant.
Οι απατεώνες εκμεταλλεύονται αυτά τα φαινομενικά αθώα σύμβολα για να εξαπατήσουν χρήστες ώστε να επισκεφθούν κακόβουλες ιστοσελίδες ή να παραδώσουν προσωπικά τους δεδομένα χωρίς να το καταλάβουν – μια πρακτική που έχει γίνει γνωστή ως “quishing” (σύνθεση των λέξεων QR code και phishing).
Προειδοποιήσεις από τις Αρχές
Η ραγδαία αύξηση τέτοιων περιστατικών οδήγησε την Ομοσπονδιακή Επιτροπή Εμπορίου των ΗΠΑ (FTC) να εκδώσει φέτος προειδοποίηση: πακέτα που καταφθάνουν ανεπιθύμητα, με QR κωδικούς, μπορεί να παραπέμπουν σε ψεύτικες ιστοσελίδες όπου κλέβονται στοιχεία όπως αριθμοί πιστωτικών καρτών ή κωδικοί πρόσβασης. Άλλες φορές, το σκανάρισμα μπορεί να εγκαταστήσει κακόβουλο λογισμικό στο κινητό.
Αντίστοιχες προειδοποιήσεις έχουν εκδοθεί σε πολιτειακό και τοπικό επίπεδο: το Υπουργείο Μεταφορών της Νέας Υόρκης και η εταιρεία ηλεκτρισμού Hawaii Electric έχουν ζητήσει από τους πολίτες να είναι προσεκτικοί.
Η απάτη βασίζεται στην ευκολία εκτέλεσης: αρκεί ένα αυτοκόλλητο με έναν ψεύτικο QR κωδικό κολλημένο σε ένα μετρητή πάρκινγκ ή έναν λογαριασμό κοινής ωφελείας. Οι δράστες ποντάρουν στην αίσθηση επείγοντος του θύματος.
«Οι απατεώνες βασίζονται στο ότι είστε βιαστικοί και πρέπει να κάνετε κάτι άμεσα», λέει ο καθηγητής Γκαούραβ Σάρμα του Πανεπιστημίου του Ρότσεστερ.
Το phishing αλλάζει μορφή
Ο Σάρμα αναμένει αύξηση των επιθέσεων μέσω QR καθώς η χρήση τους επεκτείνεται. Ένας λόγος είναι ότι οι παραδοσιακές απάτες μέσω email έχουν αρχίσει να αποδίδουν λιγότερο, λόγω των μέτρων ασφαλείας.
Σύμφωνα με μελέτη της πλατφόρμας KeepNet Labs, το 26% όλων των κακόβουλων συνδέσμων αποστέλλονται πλέον μέσω QR κωδικών. Η εταιρεία κυβερνοασφάλειας NordVPN ανέφερε ότι το 73% των Αμερικανών σαρώνει QR κωδικούς χωρίς να ελέγξει την προέλευση, ενώ πάνω από 26 εκατομμύρια έχουν οδηγηθεί σε κακόβουλες σελίδες.
«Το κυνήγι ανάμεσα σε χάκερς και ειδικούς ασφαλείας θα συνεχιστεί. Όταν μια λύση εντοπίζεται, οι απατεώνες βρίσκουν νέο πεδίο δράσης», επισημαίνει ο Σάρμα, που εργάζεται πάνω σε μια νέα τεχνολογία ασφαλών QR κωδικών (SDMQR). Ωστόσο, για να λειτουργήσει χρειάζεται συνεργασία από κολοσσούς όπως η Google και η Microsoft, που ελέγχουν τις κάμερες των smartphones.
Η προσθήκη λογοτύπων σε QR δεν αποτελεί λύση, προειδοποιεί, καθώς μπορεί να δημιουργήσει ψευδή αίσθηση ασφάλειας – και οι λογότυποι αντιγράφονται εύκολα.
Αντίδραση από πολίτες και φορείς
Ορισμένοι Αμερικανοί παραμένουν δύσπιστοι. «Είμαι στα 60 μου και δεν μου αρέσει να χρησιμοποιώ QR κωδικούς», λέει η Ντενίζ Τζόιαλ από την Άιοβα. «Ανησυχώ για την ασφάλεια και δεν μου αρέσει όταν δεν υπάρχει άλλη εναλλακτική για να συμμετάσχεις σε κάποια προσφορά πέρα από το QR».
Φορείς όπως το Παιδικό Μουσείο της Ινδιανάπολης, που υποδέχεται πάνω από 1 εκατομμύριο επισκέπτες το χρόνο, έχουν ξεκινήσει αναβαθμίσεις. Η εκπρόσωπος Νάταλι Πίγκους δήλωσε ότι χρησιμοποιούν "προσαρμοσμένους QR κωδικούς με λογότυπο και χρώματα του μουσείου" και ενημερώνουν τους επισκέπτες για το τι θα δουν. Επίσης, ελέγχουν τακτικά τους κωδικούς για παραβιάσεις.
Αν και τα μουσεία θεωρούνται λιγότερο ελκυστικοί στόχοι σε σχέση με πάρκινγκ ή σταθμούς, ακόμα και εκεί οι απατεώνες μπορούν να κολλήσουν ψεύτικους QR για να εγκαταστήσουν κακόβουλο λογισμικό.
Apple και Android: Ποιος κινδυνεύει περισσότερο;
Σύμφωνα με έρευνα της Malwarebytes, οι χρήστες iPhone είναι πιο πιθανό να πέσουν θύματα από αυτούς του Android. Ο λόγος είναι η υπερβολική εμπιστοσύνη που δείχνουν στις συσκευές τους: το 70% των χρηστών iPhone έχει χρησιμοποιήσει QR για αγορά προϊόντος, έναντι 63% των Android χρηστών.
Πάνω από τους μισούς (55%) χρήστες iPhone δηλώνουν ότι εμπιστεύονται τη συσκευή τους για την ασφάλεια τους, έναντι 50% των χρηστών Android. Αυτή η εμπιστοσύνη όμως μπορεί να τους αποτρέπει από τη χρήση επιπλέον μέτρων, όπως antivirus.
Ορατή απειλή στην καθημερινότητα
Το πιο επικίνδυνο χαρακτηριστικό των QR κωδικών είναι ότι έχουν γίνει αναπόσπαστο κομμάτι της καθημερινότητας. Ο χρήστης δεν μπορεί να ελέγξει εύκολα πού οδηγεί ο σύνδεσμος. Αν και πολλοί κωδικοί συνοδεύονται από περιγραφή, αυτή μπορεί να είναι πλαστή. Ο καλύτερος τρόπος προστασίας είναι να αποφεύγεις το σκανάρισμα ανεπιθύμητων ή άγνωστων QR κωδικών και να βεβαιώνεσαι ότι εμφανίζεται το πλήρες URL.
Ο Ντάστιν Μπρούερ αναφέρει ότι ακόμη και κρατικές υπηρεσίες πληροφοριών έχουν χρησιμοποιήσει QR για να παραβιάσουν λογαριασμούς στρατιωτικών σε εφαρμογές όπως το Signal ή να εγκαταστήσουν “remote access trojans” (RATs) — κακόβουλο λογισμικό που επιτρέπει την απομακρυσμένη πρόσβαση σε συσκευές και δίκτυα χωρίς γνώση του χρήστη.
«Το ανησυχητικό είναι πως ακόμα και έγκυρες αφίσες, διαφημίσεις ή επίσημα έγγραφα μπορούν να αλλοιωθούν. Οι επιτήδειοι απλώς κολλάνε έναν ψεύτικο QR πάνω στον αυθεντικό — και ο μέσος χρήστης δεν έχει τρόπο να το καταλάβει», προειδοποιεί ο Μπρούερ.
Ο Ρομπ Λι, επικεφαλής ερευνών στο SANS Institute, δηλώνει: «Οι QR κωδικοί δεν σχεδιάστηκαν με γνώμονα την ασφάλεια — σχεδιάστηκαν για να διευκολύνουν τη ζωή. Και αυτό τους καθιστά ιδανικούς για επιτήδειους. Το έχουμε ξαναδεί με τα phishing emails. Τώρα, απλώς έρχονται σε μορφή ενός χαμογελαστού τετραγώνου. Δεν χρειάζεται πανικός, αλλά πρόκειται για κλασική τακτική χαμηλού κόστους και υψηλής απόδοσης, που οι χάκερς λατρεύουν».
Content Original Link:
" target="_blank">
