FTC: кіберзлочинці підробляють QR-коди щоб красти особисту інформацію
QR-коди, квадратні штрих-коди, які можна сканувати та зчитувати смартфонами, здається, використовуються скрізь: для посадки на літаки, відвідування концертів і перегляду меню ресторанів.
Але шахраї, які намагаються викрасти особисту інформацію, також використовують QR-коди, щоб спрямовувати людей на шкідливі веб-сайти, які можуть збирати їхні дані, написав Альваро Пуіг, фахівець з освіти споживачів у Федеральній торговій комісії, у блозі в середу на сторінці консультацій для споживачів агентства. .
FTC попередила, що потенційні шахраї ховають небезпечні посилання в чорно-білому безладді деяких QR-кодів.
Люди, які стоять за цими схемами, скеровують користувачів до шкідливих QR-кодів оманливими способами, використовуючи тактику, яка включає розміщення власних QR-кодів поверх законних кодів на паркоматах або надсилання візерунків для сканування за допомогою текстового повідомлення чи електронної пошти таким чином, щоб вони виглядали законно, йдеться в дописі.
Після того, як люди натиснуть ці посилання, шахрай може викрасти інформацію, введену на веб-сайті. QR-код також можна використовувати для встановлення зловмисного програмного забезпечення, яке викрадає особисту інформацію людини, повідомляє FTC.
Оманливі коди, які надсилаються текстовими повідомленнями чи електронною поштою, часто використовують брехню, щоб створити відчуття терміновості, наприклад, повідомляють, що пакунок не вдалося доставити та його потрібно перенести, або видають себе за компанію та кажуть, що на особі є підозріла інформація FTC повідомила, що пароль користувача потрібно змінити.
«Вони хочуть, щоб ви сканували QR-код і відкривали URL-адресу, не замислюючись про це», — повідомили у FTC.
Джон Фоккер, керівник відділу аналізу загроз компанії Trellix, що займається кібербезпекою, повідомив в електронному листі в неділю, що передовий дослідницький центр компанії зафіксував понад 60 000 зразків атак за допомогою QR-коду в третьому кварталі 2023 року.
За його словами, до найпоширеніших типів належать поштові шахрайства, обмін шкідливими файлами та повідомлення, що видають себе за відділи кадрів, інформаційних технологій і відділи нарахування заробітної плати.
«Пандемія призвела до відродження QR-кодів у нашому повсякденному житті — від меню ресторанів до використання в кабінетах лікарів, — зробивши QR-коди привабливим вектором для використання кіберзлочинцями для націлювання на окремих осіб і організації в усьому світі», — сказав пан Фоккер. .
Пан Фоккер сказав, що користувачі мобільних пристроїв «особливо вразливі» до цих атак, оскільки «частіше QR-коди скануються за допомогою мобільних пристроїв, які можуть не мати такого ж рівня безпеки та захисту, як настільні комп’ютери».
Організації та люди можуть зробити багато кроків, щоб захистити себе, сказав пан Фоккер. Він порадив ніколи не відкривати посилання, переходити за QR-кодами та не завантажувати документи від невідомих контактів.
Він сказав, що люди також повинні використовувати двофакторну автентифікацію , яка використовує програми або телефонні номери, щоб допомогти підтвердити особу людини в Інтернеті, і «оновлювати програмне забезпечення, щоб гарантувати, що пристрої мають найновіші заходи безпеки».
FTC випустила аналогічні вказівки та сказала, що після сканування QR-коду, але перед відкриттям посилання, споживачі повинні перевірити URL-адресу, щоб побачити, чи це веб-адреса, яку вони впізнають. Якщо URL-адреса виглядає правильною, користувачі повинні перевірити адресу на орфографічні помилки чи заміну букв. (Ось як попередньо переглянути URL-адресу на iPhone та за допомогою програми Google Lens. )
«Не скануйте QR-код в електронній пошті чи текстовому повідомленні, якого ви не очікували, особливо якщо воно закликає вас діяти негайно», — попередила FTC. «Якщо ви вважаєте, що повідомлення є законним, зв’яжіться з компанією за номером телефону або веб-сайтом, який, як ви знаєте, справжній».
У січні 2022 року ФБР повідомило споживачам про шкідливі QR-коди. Він попереджав людей не завантажувати програми, посилання на які є за допомогою QR-кодів, а знайти програму в магазині програм свого смартфона та завантажити її звідти.