Czym jest Quishing lub phishing za pomocą kodów QR?

Poznaj znaczenie słowa „quishing” i dowiedz się, jak zapobiegać phishingowi za pomocą kodów QR jako indywidualni użytkownicy lub firmy, aby zapobiegać stratom finansowym i kradzieży tożsamości.
Utwórz kod QR Przeglądaj rozwiązania

Załóżmy, że otrzymujesz zimny e-mail lub wiadomość błyskawiczną informującą o płatnościach dokonanych na Twoje konto i zamierzasz zeskanować dołączony do niego kod QR. W ułamku sekundy ta czynność może ujawnić Twoje konto bankowe, hasła i dane osobowe, jeśli będzie to złośliwy kod QR.  

Quishing to szybko rozwijający się cyberatak, który próbuje ukraść poufne informacje użytkowników za pomocą fałszywych kodów QR. Ten strategiczny atak jest skierowany głównie na szefów firm i kadrę kierowniczą. Według raport Abnormal Security Corp. z 2024 r., Kadra kierownicza wyższego szczebla jest 42 razy częściej atakowana za pomocą phishingu QR niż przeciętni pracownicy. Business email breach (BEC), popularna metoda cyberataków z wykorzystaniem fałszywych wiadomości e-mail, wzrosła aż o 108% między 2022 a 2023 rokiem.

Z coraz powszechniejsze wykorzystanie kodów QR w życiu codziennym, quishing staje się coraz bardziej popularny. Dlatego każdy użytkownik kodu QR musi znać złośliwe działania lub praktyki związane z kodami QR i działania zapobiegawcze przeciwko phishingowi kodów QR. 

Znaczenie quishingu lub phishingu za pomocą kodu QR

„Quishing” lub phishing kodów QR to dobrze zaplanowana próba oszukania użytkowników kodów QR, aby odwiedzili złośliwe linki i strony internetowe. Po zeskanowaniu i kliknięciu złośliwego kodu QR użytkownicy są przenoszeni na stronę phishingową, która prowadzi do naruszenia ich poufnych informacji.

Quishing często omija konwencjonalne systemy bezpieczeństwa, takie jak bramki bezpieczeństwa poczty e-mail, ponieważ systemy postrzegają kody QR dołączone do wiadomości e-mail jako nieszkodliwe obrazy. W rezultacie wielu użytkowników kodów QR pada ofiarą phishingu e-mailowego. 

Jak działa quiishing?

Quishing działa, gdy użytkownicy celowo lub nieumyślnie klikają oszukańczy link, który pojawia się podczas skanowania złośliwego kodu QR. Ataki phishingowe mają na celu głównie kradzież danych osobowych i finansowych, takich jak dane karty debetowej lub kredytowej, dane logowania lub dane identyfikacyjne.

Oszuści wykorzystują poufne informacje użytkowników do oszustw finansowych, kradzieży tożsamości, nieautoryzowanego dostępu do konta lub ransomware. Często używają złośliwych kodów QR za pośrednictwem drukowanych ulotek i plakatów, poczty e-mail i platform mediów społecznościowych. 

Po zeskanowaniu kodu QR użytkownicy są przenoszeni na fałszywą stronę internetową lub link. Ofiary są często proszone o podanie poufnych informacji, takich jak imiona użytkowników, adresy e-mail, data urodzenia, dane bankowe i hasła logowania do konta.

💡Dowiedz się więcej: Bezpieczeństwo kodu QR

Kluczowe statystyki dotyczące phishingu QR, które warto przejrzeć

Phishing z wykorzystaniem kodów QR również znacznie wzrósł. Zobaczmy kilka danych:

Jak chronić się przed atakami phishingowymi wykorzystującymi kody QR?

Poniżej przedstawiamy najważniejsze wskazówki dotyczące zabezpieczania danych osobowych i unikania phishingu za pośrednictwem kodów QR. 

Nigdy nie korzystaj z niechcianych kodów QR: Unikaj skanowania kodu QR dołączonego do wiadomości e-mail lub postów w mediach społecznościowych, gdy nie znasz nadawcy. Nie skanuj kodów QR losowo w miejscach publicznych. Zachowaj ostrożność w przypadku kodów QR udostępnianych za pośrednictwem wiadomości e-mail lub mediów społecznościowych, zwłaszcza jeśli o nie nie prosiłeś.

Przed skanowaniem sprawdź źródło: Potwierdź autentyczność kodu QR przed zeskanowaniem, nawet jeśli uważasz, że znasz źródło. Możesz zweryfikować nazwę nadawcy, wyszukując online lub kontaktując się bezpośrednio z firmą przed zeskanowaniem.

Sprawdź ponownie adres URL kodu QR: Odczekaj chwilę, zanim klikniesz adres URL, który pojawi się po zeskanowaniu kodu QR. Sprawdź ponownie adres URL kodu QR, aby zobaczyć, czy pasuje do firmy, którą znasz, lub strony internetowej, którą zamierzasz odwiedzić. Nie klikaj podejrzanych adresów URL.  

Rozpoznawanie sygnałów phishingu: Porównaj kod QR, który otrzymujesz w wiadomościach e-mail, z kodem zapisanym na koncie Google Wallet lub UPI. Możesz zobaczyć różnice, takie jak błędy graficzne i rozbieżności w adresach e-mail. Unikaj skanowania kodu QR, który wywołuje poczucie pilności podjęcia działania lub wiadomości z kiepską gramatyką.  

Należy zwrócić uwagę na informacje udostępniane online: Nie przyjmuj wiadomości e-mail ani wiadomości tekstowych od nieznanych nadawców, którzy proszą o Twoje dane osobowe i finansowe. Musisz mieć 100% pewności, że skanowanie kodu QR jest bezpieczne, zanim podasz poufne informacje, takie jak numer telefonu, data urodzenia, dane logowania, dane karty kredytowej itp. 

Przedsiębiorstwa mogą podjąć następujące dodatkowe kroki, aby zapobiec quishowaniu:

Implementacja uwierzytelniania dwuskładnikowego: Phishing e-mailowy jest najczęstszym zagrożeniem biznesowym. Używanie dwuskładnikowego lub wieloczynnikowe uwierzytelnianie uniemożliwi hakerom włamanie się do firmowych wiadomości e-mail (BEC). 

Zaktualizuj oprogramowanie i funkcje bezpieczeństwa: Zaktualizuj oprogramowanie do najnowszej wersji i korzystaj z zaawansowanych funkcji bezpieczeństwa, aby zapobiegać atakom phishingowym.

Szkolenia z zakresu świadomości bezpieczeństwa dla pracowników: Przekazywanie świadomości cyberbezpieczeństwa i szkolenie pracowników w zakresie bezpieczeństwa kodów QR może pomóc firmom uniknąć zagrożeń związanych z quiishingiem. Dzięki szkoleniom pracownicy mogą nauczyć się rozpoznawać próby BEC i wdrażać praktyki, takie jak potwierdzanie źródła kodów QR lub żądań płatności. 

Potrzebujesz silnie zaszyfrowanego kodu QR dla swojej firmy?
Utwórz tutaj

A co jeśli organizacja już padła ofiarą quiishingu?

Załóżmy, że Twoja organizacja jest już ofiarą phishingu z wykorzystaniem kodu QR. Musisz podjąć następujące kroki, aby powstrzymać dalsze rozprzestrzenianie się oszustwa lub przynajmniej zmniejszyć szkody. Oto, jak powinieneś to zrobić. 

➡️ Natychmiast usuń kod QR: Natychmiast usuń lub zastąp złośliwy kod QR ze swoich istniejących przestrzeni fizycznych i cyfrowych, w tym wydrukowanych plakatów, menu, mediów społecznościowych i witryn internetowych. Pomoże to zapobiec dalszej eskalacji ataku phishingowego.

➡️ Pilnie powiadom klientów i personel: Powiadom klientów, partnerów biznesowych i personel o ataku phishingowym i wyjaśnij sytuację w jasny sposób. Nawiąż właściwą komunikację, udzielając jasnych instrukcji dotyczących postępowania w danej sytuacji. Wczesna komunikacja może uchronić klientów przed stratami finansowymi i kradzieżą danych osobowych, zapobiegając złemu wizerunkowi marki lub reputacji firmy.  

➡️ Zidentyfikuj źródło fałszywych kodów QR: Przeprowadź dokładną ocenę źródła kodu QR i jego docelowego miejsca docelowego. Zbadaj motyw quishingu, identyfikując, czy użytkownicy są zachęcani do odwiedzenia witryny phishingowej lub pobrania złośliwej zawartości. Terminowa interwencja i dochodzenie mogą chronić klientów i organizacje przed dalszymi szkodami. 

➡️ Zgłoś incydent zespołowi ds. bezpieczeństwa: Zgłoś atak phishing natychmiast odpowiednim władzom. Na przykład, jeśli Twoja organizacja ma oddzielny zespół ds. bezpieczeństwa, zgłoś incydent zespołowi, gdy tylko wykryjesz lub zauważysz quishing. Organizacje mogą złożyć skargę do lokalnej komórki ds. cyberprzestępczości. Władze mogą podjąć odpowiednie środki zaradcze, aby zapobiec temu samemu incydentowi w innych organizacjach. 

➡️ Przekaż rozwiązanie problemu: Poinformuj swoich klientów, personel i innych interesariuszy biznesowych, gdy tylko Twoja organizacja rozwiąże problemy. Możesz ich poinformować o swoich działaniach w celu poradzenia sobie z sytuacją. Przywrócenie zaufania i zapewnienie klientów, że Twoja organizacja ich wspiera, jest niezbędne.

Podsumowanie

Obecnie kody QR są wszędzie, a wraz z nimi potencjał quishowania. Użytkownicy kodów QR muszą zachować ostrożność podczas korzystania z kodów QR, zwłaszcza podczas skanowania kodu QR dołączonego do wiadomości e-mail, wiadomości tekstowej lub posta w mediach społecznościowych z nieznanych źródeł. 

Firmy muszą zdawać sobie sprawę z potencjalnego zagrożenia związanego z kodami QR, gdy są używane do ataków phishingowych. Podjęcie odpowiednich środków zaradczych pozwoli firmom chronić się przed phishingiem kodów QR.

Omów potrzeby swojej firmy w zakresie kodów QR.
Porozmawiaj z ekspertami

PYTANIA I ODPOWIEDZI 

Czy kod QR może stanowić zagrożenie bezpieczeństwa?

Tak. Kod QR może skierować Cię do złośliwej witryny, zainicjować oszukańcze pobieranie, a nawet wywołać działanie, które naruszy bezpieczeństwo Twojego urządzenia. 

Jaki jest przykład quishowania?

Jakie są oznaki phishingu za pomocą kodu QR?

Co powinienem zrobić, jeśli przypadkowo zeskanuję kod QR phishingowy?

Produkty które mogą Ci się spodobać:

Generowanie kodu QR

Jak edytować kod QR bez ponownego drukowania?

Czy zastanawiałeś się kiedyś, czy istnieje mądrzejszy sposób korzystania z kodów QR bez konieczności ich ponownego drukowania za każdym razem, gdy coś się zmieni? Jak edytować kod QR? Dynamiczne kody QR są kluczowym osiągnięciem w świecie kodów QR.

Kod QR ostrzeżenia medycznego: kompleksowy przewodnik

Dowiedz się, jak kod QR Medical Alert może ratować życie, udostępniając natychmiast ważne informacje o zdrowiu. Poznaj jego zalety i przewodnik po tworzeniu na stronie QRCodeChimp.

Kod QR dla restauracji: ostateczny przewodnik po sukcesie na rok 2025

Jeśli chcesz zaimplementować kod QR w restauracjach, ten kompletny przewodnik jest rozwiązaniem dla Ciebie. Czytaj dalej, aby poznać statystyki i przydatne wskazówki dotyczące używania kodów QR w swojej restauracji.

Przekierowanie za pomocą kodu QR: wszystko, co musisz wiedzieć

Twój kompleksowy przewodnik po przekierowaniu kodów QR. Poznaj proste kroki przekierowywania kodów QR, korzyści z przekierowania i sposób, w jaki firmy wykorzystują je, aby uniknąć kosztów ponownego drukowania.