Το phishing υπάρχει εδώ και πολύ καιρό και εξελίσσεται με τα χρόνια. Τώρα όμως οι απατεώνες χρησιμοποιούν νέες μεθόδους με αποτέλεσμα πλέον να βρισκόμαστε αντιμέτωποι και με το «quishing». Ο στόχος της επίθεσης είναι ο ίδιος. Να αποκτήσουν πρόσβαση στις πληροφορίες σας, να κλέψουν τα διαπιστευτήρια του τραπεζικού σας λογαριασμού και πολλά, πολλά άλλα.
Γι’ αυτό είναι πολύ σημαντικό να προστατευτείτε, και να προσέχετε τις κινήσεις που κάνετε μέσω του κινητού σας τηλεφώνου. Η τεχνολογία μας διευκολύνει σε πολλά πράγματα που κάνουμε στην καθημερινή μας ζωή, όμως δεν είναι όλοι οι σύνδεσμοι που ανοίγουμε αβλαβείς και φιλικοί. Το τελευταίο χρονικό διάστημα καταγράφονται όλο και περισσότερες επιθέσεις quishing, με τους ειδικούς να προειδοποιούν ότι αναμένεται να αυξηθούν.
Τι είναι το Phishing;
Για όσους δεν έχουν ακούσει τον όρο, τo ηλεκτρονικό «ψάρεμα» (ή Phishing) είναι μια μορφή επίθεσης κοινωνικής μηχανικής με στόχο να εξαπατηθούν τα υποψήφια θύματα ώστε να αποκαλύψουν ή να παραδώσουν ευαίσθητες πληροφορίες (όπως ονόματα χρήστη και κωδικούς πρόσβασης) ή ακόμα και να εγκαταστήσουν στις ηλεκτρονικές συσκευές τους κακόβουλο λογισμικό.
Τι είναι το quishing;
Όπως όλα τα πράγματα, έτσι και οι κωδικοί QR φαίνονται ασφαλείς μέχρι να μην είναι. Η αλήθεια είναι πως οι κωδικοί QR εισήλθαν πρόσφατα στη ζωή μας και είναι παντού οπότε τείνουμε να τους εμπιστευόμαστε. Τελικά, όμως πόσο επιβλαβής μπορεί να είναι ένας απλός κωδικός QR; Η απάντηση σε αυτή την ερώτηση είναι «πολύ» καθώς φτάσαμε σε εκείνο το σημείο όπου οι κωδικοί QR έχουν αρχίσει να χρησιμοποιούνται σε επιθέσεις phishing.
Σκεφτείτε έναν κωδικό QR που διαφημίζεται από μία εταιρεία κατά τη διάρκεια ενός μεγάλου ποδοσφαιρικού αγώνα. Τώρα, φανταστείτε ότι η εταιρεία πίσω από αυτό το διαφημιστικό είχε κακόβουλη πρόθεση. Ας πούμε, για παράδειγμα, όταν σκανάρατε τον κωδικό QR που εμφανίστηκε κατά τη διάρκεια της διαφήμισης εκείνο άνοιξε το πρόγραμμα περιήγησης του τηλεφώνου σας και κατέβασε και εγκατέστησε αυτόματα ένα ransomware. Δεδομένου του αριθμού των ανθρώπων που παρακολουθούν τον μεγάλο ποδοσφαιρικό αγώνα, το αποτέλεσμα αυτής της επίθεσης θα μπορούσε να είναι καταστροφικό.
Πώς λειτουργεί
Οι κωδικοί QR υπάρχουν παντού: σε εστιατόρια, διαφημίσεις, πινακίδες, τοίχους, ακόμη και οι εταιρείες αποστέλλουν τα προϊόντα τους με κωδικούς QR, ώστε οι καταναλωτές να μπορούν να έχουν τα εγχειρίδια των προϊόντων στα τηλέφωνά τους.
Οι εγκληματίες του κυβερνοχώρου βασίζονται στην ιδέα ότι οι περισσότεροι καταναλωτές πάντα υποθέτουν ότι οι κωδικοί QR είναι αβλαβείς. Αυτοί οι ίδιοι εγκληματίες καταλαβαίνουν επίσης ότι οι ευκολότεροι στόχοι τους είναι τα κινητά τηλέφωνα. Γιατί; Επειδή τα περισσότερα λειτουργικά συστήματα επιτραπέζιων υπολογιστών περιλαμβάνουν τείχος προστασίας. Τα τηλέφωνα, από την άλλη, είναι πολύ πιο ευάλωτα σε αυτές τις επιθέσεις.
Αυτή τη στιγμή, οι περισσότερες επιθέσεις quishing γίνονται από εγκληματίες που στέλνουν έναν κωδικό QR μέσω email. Τις περισσότερες φορές αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου είναι μία υποτιθέμενη ειδοποίηση προς τους χρήστες για επαλήθευση λογαριασμών και αναφέρουν πως ο εν λόγω χρήστης πρέπει να ενεργήσει εντός συγκεκριμένου χρονικού πλαισίου, διαφορετικά ο λογαριασμός του θα κλειδωθεί ή θα κλείσει. Το σκεπτικό των εγκληματιών είναι πως ο χρήστης θα έβλεπε τον κωδικό QR στο ηλεκτρονικό ταχυδρομείο του υπολογιστή του και θα σάρωνε τον κωδικό με το τηλέφωνό του. Μόλις γινόταν η σάρωση, ο κωδικός QR θα μόλυνε αμέσως το τηλέφωνο . Φυσικά, αυτός δεν είναι ο μόνος τρόπος με τον οποίο ένας εγκληματίας θα μπορούσε να χρησιμοποιήσει έναν κωδικό QR για να εξαπατήσει ανθρώπους καθώς οι κωδικοί QR υπάρχουν παντού.
Τι μπορείτε να κάνετε για να μην πέσετε θύμα quishing;
Το πιο απλό πράγμα που μπορείτε να κάνετε είναι να μην σαρώσετε κωδικούς QR, ειδικά αυτούς που προέρχονται από άγνωστες πηγές. Πρώτα ελέγξτε την πηγή και ακόμα και τότε σαρώστε τον κωδικό QR μόνο αν είναι απαραίτητο.
Εάν λάβετε ένα email με έναν κωδικό QR, το πρώτο πράγμα που πρέπει να κάνετε είναι να επαληθεύσετε την εγκυρότητα του αποστολέα. Για παράδειγμα, εάν λάβετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου με κωδικό QR που υποτίθεται ότι προέρχεται από την εταιρεία αλλά κοιτάζετε το email του αποστολέα και προέρχεται από το Gmail ή κάποιο τυχαίο (άγνωστο) τομέα, οι πιθανότητες λένε ότι πρόκειται για επίθεση quishing.
Η καλύτερη συμβουλή είναι ότι οποιοσδήποτε κωδικός QR σε ένα email δεν πρέπει ποτέ να σαρώνεται. Οι νόμιμες εταιρείες θα στέλνουν πάντα οδηγίες για να κάνετε ό,τι χρειάζεται να κάνετε. Και οι περισσότερες εταιρείες σίγουρα δεν πρόκειται να στείλουν κωδικό QR, ώστε να μπορείτε να επαληθεύσετε οποιονδήποτε λογαριασμό σας. Όσο για τους τυχαίους κωδικούς QR που συναντάτε έξω στο δρόμο; Απλά μην τους σκανάρετε.
Ακριβώς όπως τα μηνύματα SMS από άγνωστες πηγές, έτσι και αυτοί οι κωδικοί QR θα μπορούσαν να είναι επικίνδυνα. Επομένως, μην σαρώνετε ποτέ ένα κωδικό QR εκτός και αν είστε 100% σίγουροι για την προέλευσή του.
