Упс! Не вдала спроба:(
Будь ласка, спробуйте ще раз.

Скануйте QR уважно: що таке квішинг та як захиститися від нового шахрайства

Анна Нагорна
Анна Нагорна
12 лютого 2024 3 хвилин читання

Квішинг, або QR-фішинг, — новий вид шахрайства, коли зловмисники намагаються вкрасти особисті дані чи паролі за допомогою QR-кодів, що ведуть на фішингові сайти або завантажують шкідливий вміст на ваш девайс.

QR-шахрайство набирає обертів: восени 2023 року спостерігалося зростання кількості таких атак на понад 50%. Вони спрямовані переважно на топменеджерів компаній, які у 42 рази частіше отримують такі листи, ніж звичайні працівники. Основним мотивом кібершахраїв є крадіжка облікових даних С-level-співробітників, які зазвичай мають доступ до фінансів та конфіденційної інформації компанії.

Чому QR-шахрайство більш небезпечне за фішинг? Чому QR-шахрайство більш небезпечне за фішинг?

Як працює квішинг

Шахраї створюють фейковий QR-код та оформлюють його під айдентику відомої компанії, як-от Microsoft, Google або онлайн-банк, та здійснюють email-розсилку. У листі одержувачів просять перейти за QR-кодом, щоб «терміново змінити пароль задля безпеки», провести платіж або отримати певний бонус. 

Коли жертва сканує код, вона переспрямовується на шахрайський сайт, що вимагає ввести дані для входу, особисту чи фінансову інформацію. Або ж розпочинається завантаження шкідливих програм, які дають шахраям дистанційний доступ до ваших даних на пристрої.

Підписуйтеся на наші соцмережі

Згідно з дослідженням кібербезпекової платформи Abnormal, приблизно 27% усіх квішингових атак у другій половині 2023 року були пов’язані зі спробами отримати дані через багатофакторну автентифікацію (MFA).

Приклад квішингового листа від нібито Microsoft. Приклад квішингового листа від нібито Microsoft.

У чому головна небезпека

На відміну від звичайного фішингу, який використовує зловмисні посилання, QR-фішинг може обходити звичні заходи безпеки, як-от фільтрація пошти. Більшість безпекових рішень Gmail та інших сервісів призначені для перевірки тексту, URL-адрес і вкладень. Однак вони сприймають QR-код у листах як безневинне зображення, оскільки самі по собі пікселі не несуть сенсу.

Якщо поштовий сервіс не може декодувати QR-код, щоб виявити приховану за ним шкідливу URL-адресу, користувачі не зможуть визначити, куди приведе QR-код, поки не відсканують його. У цей момент і спрацьовує пастка квішингу.

Способи захисту

Убезпечити свої дані від крадіжки можна за допомогою спеціальних програм та базових правил безпеки в інтернеті. Зокрема, будуть корисними розширені фільтри електронної пошти та просунуті безпекові рішення на кшталт Cloudflare Cloud Email Security або Cisco Secure Email, які вміють аналізувати зображення та розшифровувати QR-коди для виявлення шкідливих посилань.

Квішинг та фішинг націлені на крадіжку облікових та персональних даних. Квішинг та фішинг націлені на крадіжку облікових та персональних даних.

Не попастися на гачок фішингу та квішингу допоможуть і такі поради:

  • Аналізуйте листи: шахраї нерідко припускаються граматичних помилок та використовують маніпуляції, вимагаючи від вас зробити щось терміново.
  • Перевіряйте офіційно: скептично ставтеся до листів, на які не чекали. Сконтактуйте з компанією чи службою підтримки, щоб переконатися, що лист справжній.
  • Реагуйте швидко: якщо все-таки просканували шахрайський QR-код, негайно змініть паролі та моніторте будь-яку несанкціоновану активність у своєму акаунті.

Підписуйтеся на наші соцмережі

0
Прокоментувати
Інші матеріали

Малолітні шахраї на Житомирщині ошукували українців за допомоги фішингу в соцмережах

Вікторія Рудзінська 11 січня 2025 15:15

Кількість кібератак на українські ресурси суттєво збільшилася у 2024 році: що відомо

Владислав Паливода 9 січня 2025 12:00

Хакери зламали російський реєстр та викрали частину даних: деталі

Владислав Паливода 8 січня 2025 11:32

Кіберполіція виявила хакерів, які наживалися на українцях: деталі

Владислав Паливода 31 грудня 2024 15:22

Найбільша авіакомпанія Японії опинилася під прицілом хакерів

Владислав Паливода 26 грудня 2024 10:06