Co je to quishingový útok?
Pojďme se blíže podívat na to, jak funguje tento typ útoku a jak se proti němu můžeme bránit. Ukážeme si, jak quishing může ohrozit vaše zařízení a citlivá data.
Co je to Quishing?
Quishing, někdy označovaný jako phishing s využitím QR kódů, je specifická forma phishingového útoku, kde jsou QR kódy využívány k oklamání potenciálních obětí. Stejně jako u jiných forem phishingu, hlavním cílem je získat citlivé informace, zavést do vašeho zařízení škodlivý software (malware) nebo vás přimět navštívit nebezpečnou webovou stránku.
Tento typ útoku využívá rostoucí popularity QR kódů, což se ukázalo zejména během pandemie, kdy se jejich používání stalo běžnější.
Jak quishing probíhá?
Útočníci nejprve vytvoří QR kód, který na první pohled vypadá neškodně. K dispozici je mnoho online nástrojů, které umožňují vytvářet QR kódy, a dokonce i váš telefon s Androidem to dokáže.
Tyto QR kódy mohou přesměrovat uživatele na falešné platební brány, nebezpečné odkazy nebo k dokumentům infikovaným viry. Útočníci umisťují tyto škodlivé QR kódy tam, kde je pravděpodobné, že je oběti naskenují. Typicky se jedná o veřejná místa jako plakáty, letáky nebo falešné reklamy v restauracích, nákupních centrech, parcích či na letištích.
Jak vás může quishing ohrozit?
Vzhledem k tomu, že útočníci používají QR kódy, nemusíte si ani uvědomit, že jste se stali obětí quishingového útoku, dokud není pozdě. Proto je důležité znát možné dopady tohoto útoku.
1. Přesměrování na phishingové webové stránky
Naskenování QR kódu vás může přesměrovat na webovou stránku, která se zdánlivě tváří jako legitimní. Cílem útočníků je vás oklamat, abyste jim poskytli citlivé informace, jako je telefonní číslo, e-mailová adresa nebo údaje o platební kartě.
2. Útok malwarem
QR kódy mohou také skrývat malware, ransomware nebo trojské koně. Tento software se může po naskenování QR kódu automaticky stáhnout a nainstalovat do vašeho zařízení. Útočníci tak mohou do vašeho zařízení instalovat škodlivý software, získávat vaše soukromé informace nebo sledovat vaši aktivitu.
3. Ovládnutí vašich účtů na sociálních sítích
Skenování škodlivého QR kódu může vést ke ztrátě kontroly nad vašimi účty na sociálních sítích. Může se instalovat software, který bude rozesílat e-maily z vašeho účtu nebo odesílat zprávy vašim kontaktům na platformách jako Instagram, WhatsApp a další.
Jak se chránit před quishingovými útoky?
Zcela se vyhnout skenování QR kódů může být nereálné, ale existuje několik způsobů, jak se proti quishingu účinně bránit.
1. Prohlédněte si náhled URL
Předtím, než přistoupíte k cíli QR kódu, by mělo vaše zařízení zobrazit náhled odkazu. Pokud je URL adresa zkrácena a není jasné, kam odkazuje, je lepší se jí vyhnout.
Dále zkontrolujte zabezpečení protokolu. Většina zabezpečených webových stránek používá HTTPS protokol místo HTTP.
2. Ověřte cíl QR kódu
Po přesměrování na webovou stránku pečlivě zkontrolujte URL. Pokud si všimnete překlepů, špatné gramatiky nebo obrázků v nízké kvalitě, je velmi pravděpodobné, že se jedná o phishingový pokus. Varovným signálem je také pocit naléhavosti a výzvy k okamžité akci, pak je lepší stránku opustit.
3. Použijte vestavěný QR skener
Ve spěchu můžete sáhnout po aplikaci třetí strany nebo online skeneru QR kódů. Tyto nástroje ale mohou být vytvořeny útočníky s cílem provádět quishingové útoky. Doporučuje se proto používat vestavěný QR skener, který je součástí fotoaparátu vašeho zařízení.
Závěr o quishingu
Stejně jako jiné phishingové útoky, i quishing představuje významné ohrožení pro jednotlivce i firmy. Zjištění, že jste se stali obětí quishingového útoku, může trvat i několik týdnů. Proto je důležité důkladně zvážit, než naskenujete QR kód z nedůvěryhodného zdroje.