Ważne ostrzeżenie Ministerstwa Cyfryzacji. Nowy typ ataków zagraża Polakom
Od lat poszukuje się wygodnych metod współdzielenia adresów prowadzących do konkretnych treści, dzięki którym można byłoby wyeliminować konieczność wprowadzania całych linków. Jedną z realizacji takiej koncepcji są kody QR. Niestety, mogą one być równie użyteczne, co niebezpieczne, o czym ostrzega Ministerstwo Cyfryzacji.
Kody QR – przydatne i niezbyt bezpieczne
Ministerstwo Cyfryzacji wydało komunikat, w którym zwraca uwagę, że kody QR mogą być wykorzystane do tego, by szkodzić osobom, które je odczytały. Choć są one bardzo wygodną metodą odsyłania użytkowników do żądanych treści, często wykraczającą poza świat wirtualny, mogą go także wysłać na strony przygotowane przez osoby czyhające na cyberbezpieczeństwo.
Problem jest tym bardziej palący, że kody QR można dziś znaleźć wszędzie – od treści, którymi oklejone są wiaty przystanków po restauracje, gdzie kody QR zastępują czasem kartę dań. Eliminuje to konieczność marnowania papieru na wydruki tradycyjnych menu i można się spodziewać, że QR będziemy oglądać rosnącej liczbie podobnych scenariuszy.
Oglądasz seriale na Netflixie? Możesz dostać powiadomienie, CERT wydał ostrzeżenieNa czym polega quishing?
Niestety użytkownik nie ma w zasadzie żadnej zdolności do tego, by zawczasu zweryfikować, dokąd będzie prowadził kod. Nic nie stoi na przeszkodzie, by choćby na wspomnianym przykładowym plakacie wywieszonym na ścianie wiaty przystankowej zakleić oryginalny kod QR własnym, który będzie prowadził do witryny stanowiącej dla użytkownika zagrożenie. Wystarczy skan i nieuwaga, by dać się nabrać.
Quishing jest już aktywnie wykorzystywany także w Polsce. W Warszawie za wycieraczki samochodów wkładano rzekomy mandat wystawiony przez Straż Miejską, na którym znajdował się kod prowadzący do szczegółów rzekomych naruszeń prawa. Oczywiście cały „mandat” spreparowany był przez napastników, a kod QR prowadził do witryny zachęcającej do pozostawienia przez ofiarę swoich danych. Te następnie wpadały w ręce napastników.
Rekomendacje Ministerstwa Cyfryzacji
Biorąc pod uwagę, że liczba przypadków quishingu będzie rosnąć, Ministerstwo Cyfryzacji zdecydowało się opublikować stosowne rekomendacje. Przede wszystkim zaleca się wyłączenie funkcji automatycznego skanowania kodów QR. Ponadto szczególna czujność powinna zostać zachowana, jeśli po skanowaniu kodu proszeni jesteśmy o pobranie aplikacji lub pozostawienie danych. MC przestrzega przed kodami QR zwłaszcza wtedy, gdy okoliczności jego użycia wskazują na kontekst związany z finansami.
