Προσοχή στις κακόβουλες απάτες με κωδικό QR

Η Ομοσπονδιακή Επιτροπή Εμπορίου των ΗΠΑ (FTC) προειδοποιεί τους χρήστες να είναι προσεκτικοί όταν λαμβάνουν παράξενα email ή μηνύματα που τους ζητούν να σαρώσουν κωδικούς QR λόγω ασυνήθιστων σημείων στους λογαριασμούς τους ή προβλημάτων με τις παραγγελίες παράδοσης. Αυτοί οι κακόβουλοι κωδικοί QR θα ανακατευθύνουν τους χρήστες σε ψεύτικους ιστότοπους που κλέβουν προσωπικά στοιχεία.

Ο Κερν Σμιθ, αντιπρόεδρος της εταιρείας ασφάλειας κινητών τηλεφώνων Zimperium, δήλωσε ότι οι επιθέσεις που στοχεύουν τηλέφωνα αυξάνονται εκθετικά επειδή τα συστήματα κατά του ηλεκτρονικού "ψαρέματος" (phishing) πολλών εταιρειών δεν είναι εξοπλισμένα για να σταματήσουν τους ψεύτικους κωδικούς QR.

Οι επιθέσεις που βασίζονται σε κώδικες QR δεν είναι κάτι καινούργιο, αλλά οι κακοί χρησιμοποιούν ολοένα και περισσότερο αυτήν την εξελιγμένη τακτική, δήλωσε η Shyava Tripathi, ερευνήτρια στην εταιρεία κυβερνοασφάλειας Trellix. Η Trellix ανίχνευσε περισσότερα από 60.000 κακόβουλα δείγματα κωδίκων QR μόνο το τρίτο τρίμηνο του 2023.

Η αστυνομία σε αρκετές πόλεις του Τέξας (ΗΠΑ) εντόπισε πλαστούς κωδικούς QR που τοποθετήθηκαν σε παρκόμετρα, οι οποίοι συνδέονταν με έναν πλαστό ιστότοπο πληρωμών. Όταν οι χρήστες πληρώνουν, τα χρήματα μεταφέρονται στον λογαριασμό του απατεώνα και υπάρχει κίνδυνος κλοπής των στοιχείων σύνδεσης.

Σύμφωνα με την εφημερίδα The Independent, μια 71χρονη γυναίκα στο Ηνωμένο Βασίλειο έχασε 13.000 λίρες αφότου αποκαλύφθηκαν τα στοιχεία της κάρτας πληρωμής της μετά τη σάρωση ενός ψεύτικου κωδικού QR. Παρόλο που η τράπεζα που χρησιμοποίησε μπλόκαρε μια σειρά από δόλιες συναλλαγές, ο απατεώνας συνέχισε να καλεί το θύμα, παριστάνοντας την υπάλληλό της τράπεζας και πείθοντάς την να παράσχει περισσότερες πληροφορίες. Αφού έκλεψε με επιτυχία τις πληροφορίες, ο απατεώνας δημιούργησε έναν νέο λογαριασμό για να δανειστεί χρήματα και να δημιουργήσει μια πιστωτική κάρτα με την ταυτότητα του θύματος.

Ο Steve Jeffery, μηχανικός στην παγκόσμια εταιρεία κυβερνοασφάλειας και αυτοματισμού Fortra, δήλωσε ότι τα περισσότερα συστήματα ασφαλείας email δεν ελέγχουν το περιεχόμενο των κωδικών QR, γεγονός που καθιστά δύσκολη την αποτροπή επιθέσεων ηλεκτρονικού "ψαρέματος" (phishing). Αντί να στέλνουν άμεσους συνδέσμους, οι κακόβουλοι χρήστες στέλνουν συνδέσμους μέσω κωδικών QR.

Οι απάτες με κώδικες QR αυξήθηκαν κατά 51% τον Σεπτέμβριο σε σύγκριση με τους προηγούμενους οκτώ μήνες, σύμφωνα με έκθεση της εταιρείας ασφάλειας και διαχείρισης κινδύνων Reliaquest. Η αύξηση οφείλεται στη δημοτικότητα των smartphones και στην έλλειψη επαγρύπνησης των χρηστών κατά τη σάρωση κωδικών QR.

Σύμφωνα με το The Verge , η FTC συνιστά στους χρήστες να ενημερώνουν τακτικά τις συσκευές τους, να δημιουργούν ισχυρούς κωδικούς πρόσβασης και να ρυθμίζουν τον έλεγχο ταυτότητας πολλαπλών παραγόντων για σημαντικούς λογαριασμούς. Οι χρήστες δεν πρέπει να κατεβάζουν εφαρμογές σάρωσης κωδικών QR, επειδή η εφαρμογή κάμερας σε Android και iOS διαθέτει ενσωματωμένη αυτήν τη λειτουργία. Οι χρήστες θα πρέπει επίσης να ελέγχουν προσεκτικά το όνομα του συνδέσμου πριν κάνουν κλικ, επειδή οι κακόβουλοι χρήστες μπορούν να ανταλλάξουν γράμματα που είναι διαφορετικά από το αρχικό όνομα.