Quishing je na vzestupu. QR kódy přitom ohrožují lidi i firmy

14. 2. 2024. (redaktor: František Doupal, zdroj: Thein Security)
Americká federální komise pro obchod (FTC) v prosinci 2023 vydala varování před škodlivými QR kódy. Týkalo se USA, ale tento nový typ bezpečnostních útoků, označovaný jako quishing, je na vzestupu i v Česku.

„Mezi našimi klienty pozorujeme, že lidé i firemní prostředí jsou k novému fenoménu quishingu poměrně vysoce náchylní. V poslední době se s tím bohužel v praxi setkáváme čím dál častěji. Veřejnost, ale i zaměstnanci mu snadno podlehnou, chybí dostatečně povědomí o nebezpečích i jak se útokům bránit,” potvrdila narůstající popularitu quishingu v Česku Irena Hýsková, výkonná ředitelka Thein Security.

QR kódy jsou dnes běžným nástrojem využívaným pro řadu účelů. Otevření webových stránek, poskytnutí kontaktní informace, online platby, vstupenky na akce, pořízení mobilních aplikací, objednávání jídla i zboží a řadu dalších užitečných činností.

Fungují přitom velmi snadno. Namíříte fotoaparát telefonu na QR kód, telefon jej přečte a podle obsahu „kostiček“ provede odpovídající akci. Nejčastěji právě otevření webových stránek či mobilních aplikací nebo vyvolání online platby.

QR kódy se ale staly nástrojem kybernetických útoků v nové formě phishingu (rhybaření) a tato aktivita získala i označení, quishing (QR code phishing). Útočníci využívají toho, že lidé prozatím nevědí o rizicích a nejsou dostatečně obezřetní a zároveň toho, že do obsahu QR kódu není vidět, dokud ho načtete telefonem.

Quishing se dá velmi snadno využít tak, že oběť otevře webovou adresu, o které si myslí, že je bezpečná. Ve skutečnosti otevře škodlivou webovou stránku s viry či malwarem, nebo falešnou webovou stránku napodobující například banku, e-mail, či jiné služby vyžadující přihlašovací údaje. Ty, nic netušící, zadá, aby v zápětí došlo k odcizení online účtu.

Cílený quishing (spear quishing) může být na míru vyrobený pro útok na firmy a organizace. Útočník se tak může dostat do firemních sítí, hacknout další firemní počítače, ukrást data, nasadit ransomware. Při cílení na finanční oddělení mohou podvržené QR kódy vést k převodům peněz na účty útočníka. Velmi často slouží k odcizení osobních údajů či finančních informací, zejména v podobě kompletních údajů z platební karty.

Stejným způsobem například funguje přelepování QR kódu na parkovacích automatech. Ať už vedoucích přímo k placení, nebo k instalaci parkovacích aplikací. Do mobilu oběti se tak dostane škodlivá podvodná aplikace.

Oblíbené je i využití pro modernější formu upozornění na nedoručenou zásilku nebo podvodná varování o problémech s účty, pokyny k zaplacení pokuty i řada dalších aktivit.

Jak se bránit quishingu

Obrana proti qushingu může být poněkud komplikovaná, zejména s ohledem na nedostatek zkušeností a nedostatečné povědomí o rizicích. Nejdůležitější obranou by tedy mělo být vzdělávání, jak u spotřebitelů, tak ve firemním prostředí.

Je třeba se naučit neotevírat QR kódy z nejistých zdrojů. Pokud už otevírat, tak důsledně ověřovat  - zda otevřený web je skutečně ten, co měl být otevřen, zda číslo účtu v pokynu k platbě je správné. To, zda je QR kód bezpečný je velmi často snadno možné ověřit na webových stránkách, kontaktováním společnosti spojené s QR kódem. Vyplatí se i prozkoumat a ověřit e-mail odesílatele e-mailu s QR kódem, či telefonní číslo, ze kterého kód přišel.

Obzvlášť pozor je třeba dávat na QR kódy zobrazující se v online, ale i offline reklamách. Reklama je častým nástrojem kyberútoků. 

Ve firemním prostředí platí výše uvedené, ale zcela jistě lze přidat i další dodatečné způsoby prevence a ochrany. Od nastavení procesů, zejména například při ověřování plateb, odpovídající ochrany mobilních zařízení včetně omezení přístupů a aktivit až po důsledné zabezpečení přihlašování k firemním systémům a sítím.

Ve firmách tedy platí, že nejlepší kombinace je proškolení zaměstnanců, používání bezpečnostního softwaru a jasné nastavení politiky používání QR kódů.

Štítky: 
Bezpečnost, Thein Security
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Vliv bezpečnostních řešení na pojistné události v kyberbezpečnosti

4. 4. 2025. (redaktor: František Doupal, zdroj: Sophos)
Z průzkumu společnosti Sophos vyplývá, že hodnota pojistného plnění z kybernetického pojištění, které uplatňují organizace využívající služby MDR, je v průměru o 97,5 % nižší než u organizací, které se spoléhají pouze na ochranu koncových bodů. Čtěte více

Celosvětové výdaje na kybernetickou bezpečnost letos vzrostou o 12,2 %

27. 3. 2025. (redaktor: František Doupal, zdroj: IDC)
IDC očekává, že celosvětové výdaje na bezpečnost vzrostou v roce 2025 meziročně o 12,2 %. Rostoucí složitost a četnost kybernetických hrozeb - urychlená umělou inteligencí - nutí organizace přijímat pokročilejší obranná opatření. V důsledku toho se předpokládá, že výdaje na bezpečnost budou po období mezi lety 2023 až 2028 trvale růst až na 377 miliard dolarů. Čtěte více

Stabilní a odolný: Takový byl podle IDC vloni trh s bezpečnostními zařízeními

12. 3. 2025. (redaktor: František Doupal, zdroj: IDC)
Podle společnosti IDC byly celkové tržby na trhu s bezpečnostními zařízeními stabilní. Ve čtvrtém čtvrtletí roku 2024 trh vykázal 1,5% růst v tržbách a dosáhly 5,1 miliardy dolarů (meziroční nárůst 77 milionů dolarů). Z hlediska tržeb si vloni nejlépe vedl region EMEA s meziročním nárůstem o 12,4 %. Dodávky činily 1,2 milionu kusů (2,7% nárůst ve srovnání se stejným obdobím roku 2023). Čtěte více

Boris Hlinka (Synology): Partneři oceňují náš provázaný ekosystém

27. 11. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
S Borisem Hlinkou, produktovým manažerem společnosti Synology pro Českou republiku a Slovensko, jsme hovořili nejen o novinkách v portfoliu tohoto výrobce. Kromě samotných produktů jsme se zaměřili také na důležitost komplexního ekosystému, rostoucí roli modelu SaaS, význam doplňkových služeb nebo dnes všudypřítomnou umělou inteligenci. Čtěte více