האם קוד ה-QR הזה הוא מלכודת? איך לזהות הונאות quishing לפני שיהיה מאוחר מדי
עקוב אחר ZDNET: הוסף אותנו כמקור מועדף בגוגל.
נקודות המפתח של ZDNET
- קוד ה-QR בדוא"ל או בקובץ המצורף שלך יכול להיות הונאה.
- דיוג בקוד QR עוקף את MFA, מה שמוביל לגניבת נתונים.
- כיצד פועלות התקפות quishing, ומה אתה יכול לעשות כדי להישאר בטוח.
האם אי פעם נחת קוד QR בתיבת הדואר הנכנס שלך והסקרנות גברה עליך?
כשאנחנו חושבים על פישינג והונאות, רבים מהטריקים הוותיקים ביותר הם אלה שאנחנו עדיין נתקלים בהם מדי יום – מיילים שטוענים שיש לנו קרובי משפחה שאבדו זה מכבר שהשאירו לנו ירושה; אזהרת 'פייסבוק' שהחשבונות שלנו יוקפאו אלא אם נשיב מיד; זכיות מזויפות בלוטו; ושידולים לא רצויים ממה שנקרא משקיעים שמוכנים להעביר לנו מיליוני דולרים.
כמו כן: דיוג נייד הוא איום גדול יותר מהאימייל כעת
עם זאת, הזמנים משתנים. הונאות גיוס נעשות מתוחכמות מספיק כדי לשכנע את מחפשי העבודה לעסוק; בינה מלאכותית משמשת להאנישה ולשיפור ניסיונות התחזות ואפילו לאוטומציה של שרשראות תקיפה שלמות; ועכשיו, צץ וקטור תקיפה שמנצל קודי QR לנשק כדי לעקוף אימות רב-גורמי (MFA), לגנוב את הנתונים שלנו ולחטוף את החשבונות שלנו.
Quishing: הונאת QR במגמת עלייה
Quishing, או דיוג מבוסס קוד QR, מטמיע קישורים זדוניים בקודי QR כדי לעקוף מסנני דיוג מסורתיים ולחמוק דרך רשתות האבטחה. הפיתוי זהה: ליצור תחושת דחיפות, לפנות לחמדנות שלנו, להחדיר פחד ופאניקה, או להבטיח תגמולים עבור סריקת קוד ה-QR עם הטלפונים שלנו ולחיצה על הקישור המוטבע כדי לבקר בעמוד או פלטפורמה מקוונים.
כמו כן: מיקרוסופט משתפת פעולה עם אסטרטגיית אבטחה חדשה של Windows המופעלת על ידי בינה מלאכותית
ערכת התחזות בקוד QR יכולה ללבוש צורות רבות. הודעה מזויפת מהבנק שלך, אימייל המברך אותך על הזכייה בלוטו, או הודעה דחופה מספק המדיה החברתית שלך. לאחר שסרקת את הקוד ולחצת על הקישור, אתה עלול להגיע לדומיין שנועד לגנוב את הנתונים שלך או לסכן חשבון שבבעלותך.
לפי זה של Hoxhunt דוח מגמות דיוג לשנת 2026הודעות פישינג בסיסיות באמצעות קוד QR בדוא"ל נמצאות בדעיכה, אך הן צצות מחדש בתור וקטור התקפה החבוי בקבצים מצורפים לדוא"ל הונאה, כגון בקובצי PDF זדוניים.
בסך הכל, התקפות דיוג בקוד QR עלו ב-25% משנה לשנה. זה לא רק חללים דיגיטליים, גם כן, שכן קודי QR זוהו גם בחללים פיזיים, מוטבעים בפוסטרים או מוטבעים על כרטיסי ביקור מזויפים, לפי הדו"ח.
איך התוקפים מתחמקים מהגנות MFA
המחקר של Hothunt נתמך על ידי א הודעת יוני מצוות האמון והבטיחות של גוגל מזהיר כי וקטורי התקפות דוא"ל מסורתיים מוחלפים בהתקפות של יריב-באמצע (AITM) והתקפות quishing.
ביטול צמדים עם AITM על ידי הסוואה של קישורים זדוניים בפורמט שקשה לקרוא או לזהות על ידי מסנני אבטחה. לפי שני גוגל ומיקרוסופטכך זה עובד: אתה מקבל הודעת דואר אלקטרוני, והסקרנות מפתה אותך לסרוק את הקוד. לאחר מכן אתה נשלח לאתר משובט שנראה כדומיין של שירות מהימן, כגון בנק, ספק שירותים פיננסיים, או אפילו פלטפורמת עבודה.
גַם: כיצד ליצור קוד QR בחינם
לאחר מכן אתה שולח את האישורים שלך, ומאפשר לתוקף לעקוף הגנות קיימות של אימות רב-גורמי (MFA) מכיוון שאתה מאמין שאתה נכנס לאתר מהימן. לאחר מכן הם יכולים ללכוד את הסיסמה ואת אסימון ההפעלה שלך, מה שיוביל לגניבת נתונים, פגיעה בחשבון ועוד.
מה שהופך את הטקטיקה הזו למסוכנת יותר מהדיוג מסורתי, במיוחד עבור עסקים, הוא שהקורבנות משתמשים במכשירים שלהם כדי לסרוק קוד QR, תוך עקיפת אבטחה מבוססת רשת ורשתות בטיחות, כגון זיהוי דיוג.
צוות Microsoft Defender ראה בקמפיינים של פושעי סייבר מבוססי קוד QR צומחים מ-10% ל-30% מסך מסעות הפרסום הדיוג בחודשים האחרונים.
כיצד להימנע מנפילה לפישינג עם קוד QR
מכיוון שקודי QR מסתירים יעדים, קישורים ותוכן בפורמט דמוי תמונה, איננו יכולים לראות מה יש בהם או לאמת בקלות את מקורם – וזו הסיבה שסריקה עיוורת ומעקב אחר קוד QR היא מסוכנת.
יש להתייחס לקודי QR, במיוחד אלה שאינכם מצפים להם, באותו חשד כמו קישורים או קבצים מצורפים שנשלחו בדוא"ל. רק בגלל שהפורמט שונה, זווית ההתחזות נשארת זהה: לכפות או לנצל את סקרנותו של הקורבן ולפתות אותו ללחוץ ולבקר במשאב מקוון זדוני. ההבדל היחיד כאן הוא מנגנון המסירה — במקום קישור או קובץ פשוטים, קורבן משתמש במצלמה כדי לסרוק.
כמו כן: התוכנה הטובה ביותר להסרת תוכנות זדוניות: מומחה נבדק ונבדק
העצה הטובה ביותר כאן היא להישאר זהיר. אם אתה מקבל אימייל המכיל קוד QR שנראה כאילו הוא מהבנק שלך, בקר באתר הרשמי של הבנק שלך בכרטיסייה נפרדת או פתח את האפליקציה לנייד של הבנק שלך. גם אם הודעה נראית לגיטימית, למען הבטיחות והביטחון, אין ללחוץ על קישורים, לפתוח קבצים מצורפים או לסרוק קודי QR אלא אם כן אתה בטוח לחלוטין שהמקור לגיטימי ותוכן ההודעה בטוח.
זכור גם שאיומי קוד QR אינם מוגבלים לאימיילים. תראה את זה מדבקת קוד QR סטירה על עמוד פנס ליד החנות האהובה עליך? אפילו מדבקות קוד QR פיזיות יכולות להוות איום רציני על הפרטיות והאבטחה שלך.