BANK 2025/02

Bankowość i Finanse | Quishing | Zakodowane ataki

Marcin Podleśny | Miesięcznik Finansowy BANK
Bankowość i Finanse | Quishing | Zakodowane ataki
Fot. Kate3155/stock.adobe.com
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Ataki z użyciem kodów QR są trudne do wykrycia za pomocą tradycyjnych metod filtrowania e-maili. Przenoszą się one również z urządzeń korporacyjnych na urządzenia osobiste, takie jak telefony czy tablety. Jak temu przeciwdziałać?

Ataki z wykorzystaniem kodów QR, zwane quishingiem, stały się coraz popularniejszą metodą cyberprzestępców ze względu na swoją prostotę i skuteczność.

Niestety, przestępcy, którzy na co dzień wykorzystują różne metody docierania do potencjalnych ofiar i namówienia ich na wejście na spreparowaną stronę, używają także kodów QR. Wykorzystują je, zamiast klasycznych linków w treści wiadomości, jako trudniejsze do szybkiego rozpoznania jako podejrzane przez samego obiorcę wiadomości mailowej lub automatyczny system identyfikacji zagrożeń – zauważa Piotr Miernikiewicz, ekspert ds. bezpieczeństwa informacji w Banku Credit Agricole.

W przypadku podejrzenia quishingu nie należy klikać w przesłany link ani skanować kodu QR. – Trzeba edukować użytkowników, a nawet testować ich odporność, rozsyłając testowe wiadomości po to, żeby zbudować właściwą świadomość. To jest typowy atak socjotechniczny z wykorzystaniem aspektów cyfrowych. Musimy pamiętać, że korzystając z dobrodziejstw świata cyfrowego, należy znać również zagrożenia, które on nieuchronnie niesie ze sobą – informuje Łukasz Gracki, kierownik Wydziału Zarządzania Ryzykiem Nadużyć w Banku Millennium.

Choć ataki quishingowe są relatywnie nową bronią w arsenale cyberprzestępców, jednak już pojawiły się modyfikacje ataków. Analitycy z firmy Barracuda Networks zidentyfikowali nową generację ataków phishingowych z użyciem kodów QR. Cyberprzestępcy omijają tradycyjne metody weryfikacji przez formowanie kodów QR ze znaków tekstowych zamiast elementów graficznych lub przez użycie adresów obiektów w formacie Blob (Binary Large Objects). Każda z tych technik może służyć do przekierowania użytkowników na trudne do wykrycia strony phishingowe. Kody QR stworzone z bloków ASCII/Unicode wyglądają w wiadomościach e-mail jak tradycyjny kod QR, jednak narzędzia zabezpieczające opierające się wyłącznie na skanowaniu obrazów nie są w stanie rozpoznać, czy w kodzie ukryty jest złośliwy link. Użycie adresów obiektów typu Blob pomaga napastnikom unikać wykrycia, ponieważ adres strony zapisany w formacie Blob nie ładuje danych z zewnętrznych adresów URL. To sprawia, że tradycyjne narzędzia do filtrowania i skanowania adresów URL nie rozpoznają adresów i zawartości jako złośliwej. Adresy generowane w formacie Blob trudno śledzić i analizować, ponieważ są tworzone dynamicznie w przeglądarce użytkownika i szybko wygasają.

Liczba ataków phishingowych z użyciem kodów QR rośnie. Ponieważ narzędzia zabezpieczające zostały dostosowane do tego, żeby je wykrywać i blokować, napastnicy próbują wdrażać nowe techniki – wyjaśnia Mateusz Ossowski, CEE Channel Manager w firmie Barracuda Networks, która jest producentem rozwiązań z obszaru bezpieczeństwa IT.

Strategie ochronne

Ataki phishingowe z wykorzystaniem kodów QR stanowią rosnące zagrożenie dla organizacji. Dlatego tak ważne jest wdrażanie wielowarstwowych strategii obronnych, najlepiej opartych na sztucznej inteligencji, które pozwalają wykrywać nowe zagrożenia. Firmy powinny zadbać o kontrolę dostępu do swoich zasobów, wybierać silne mechanizmy uwierzytelniania, edukować pracowników oraz budować skuteczną kulturę bezpieczeństwa.

Aby chronić się przed tego typu zagrożeniami, należy również systematycznie edukować użytkowników. Zwłaszcza pracownicy sektora bankowego powinni być regularnie szkoleni na temat zagrożeń związanych z kodami QR, gdyż te mogą prowadzić do phishingowych ataków.

Przy każdej okazji należy podkreślać, że skanowanie kodów QR powinno odbywać się tylko, jeśli pochodzą one z zaufanych źródeł. Zawsze warto sprawdzić, czy kod QR faktycznie prowadzi do oczekiwanej strony internetowej. Można to zrobić poprzez ręczne wpisanie adresu URL w przeglądarkę.

Z punktu widzenia bezpieczeństwa ważne jest, aby zawsze traktować każdy QR jako nieznany link, co do którego musimy zdecydować co dalej z nim zrobimy. Bez względu na to, czy dostaliśmy go w wiadomości mailowej, zobaczyliśmy na stronie internetowej, był na materiale promocyjnym w sklepie czy przyklejony na parkomacie, to zawsze trzeba go traktować właśnie jako link nieznanego pochodzenia – informuje Piotr Miernikiewicz.

Ograniczone zaufanie

Zdaniem Piotra Miernikiewicza, jedną z podstawowych strategii przeciwdziałania powinno być uświadamianie użytkowników, że każdy QR kod to co najmniej nieznany link. Że należy do niego podejść z jeszcze większą nieufnością, bo przecież bez dodatkowych narzędzi do jego interpretacji (i zamiany na postać dla nas czytelną), nie jesteśmy w stanie oszacować, czy może z nim być związane jakieś zagrożenie.

Ochrona przed atakami z użyciem kodów QR wymaga kompleksowego podejścia, obejmującego zarówno edukację użytkowników, jak i wdrożenie odpowiednich technologii i polityk bezpieczeństwa. Regularne aktualizowanie wiedzy na temat najnowszych zagrożeń i dostosowywanie strategii bezpieczeństwa jest kluczem do skutecznej ochrony przed cyberatakami – mówi Łukasz Gracki.

Ostrożnie z QR kodami

Kody QR budzą coraz większą ciekawość także w aspekcie ich bezpieczeństwa, jednak na początku warto podkreślić, że są to po prostu kody graficzne służące zapisywaniu pewnych informacji – zazwyczaj linków do stron internetowych. Dzięki swej prostocie i szybkości użycia kody QR stały się popularne, pełniąc funkcję zazwyczaj odsyłającą do stron WWW. W kontekście bezpieczeństwa poczty e-mail mogą stanowić furtkę dla przestępców o tyle, że standardowe metody filtrowania e-maili skanują załączniki czy tekst wiadomości, ale mogą pomijać zawarte w niej kody QR. To sprawia, że odbiorcy poczty nie powinni zapominać o podstawowych zasadach cyberhigieny.

Po pierwsze należy zweryfikować źródło, tj. sprawdzić nadawcę wiadomości zawierającej taki kod. Zazwyczaj możliwe jest także zweryfikowanie, dokąd prowadzi taki kod QR, bowiem wraz ze skanowaniem go aparatem w smartfonie w większości przypadków widoczny jest podgląd linku. Adres strony, do której prowadzi link, warto sprawdzić przed otwarciem. Jeśli kod prowadzi do strony internetowej, do której użytkownik już dotarł (kliknął w link) warto zwrócić uwagę na to, jakie jest przeznaczenie tej witryny – czy wymaga ona wpisania danych na formularzu. Wówczas trzeba zastanowić się, czy wpisanie takich danych jest konieczne, a przede wszystkim sprawdzić autentyczność takiej strony – adres strony WWW czy certyfikat SSL. Przestrzeganie tych podstawowych zasad cyberbezpieczeństwa pozwala minimalizować ryzyko związane z korzystaniem z kodów QR. Źródło: PKO Bank Polski

Źródło: Miesięcznik Finansowy BANK