V súčasnej dobe existuje mnoho typov kybernetických útokov, prostredníctvom ktorých sa záškodníci snažia od svojich obetí vymámiť citlivé údaje, väčšinou s cieľom dostať sa k ich finančným prostriedkom. Po novom sa k už tak širokej plejáde podvodných praktík pridáva nová, ktorá nesie názov „quishing“. Ide o podvod založený na QR kódoch, píše server MobilMania.cz.
Prejsť na:
Tento typ útoku je čoraz rozšírenejší a nebezpečnejší. Podľa zistení spoločnosti Check Point, ktorá sa zaoberá kybernetickou bezpečnosťou, počet kyberútokov realizovaných prostredníctvom podvodných QR kódov v posledných mesiacoch medziročne stúpol až 7-násobne.
Princíp tohto útoku je podobný ako pri phishingu. Cieľom je od príliš dôverujúcej obete vylákať citlivé informácie, a to tým, že jej podvodník zašle správu obsahujúcu QR kód, ktorý ju presmeruje na určitú webovú stránku. Tá zvyčajne vyžaduje vyplnenie polí dôvernými informáciami. Obeťami pritom nemusia byť iba jednotlivci, ale aj spoločnosti.
Pôsobia dôveryhodne
Príprava quishingu nie je ktovieako náročná, čo zaručene prispieva k nebezpečenstvu tohto typu kybernetického útoku. Šancu na jeho úspešnú realizáciu ďalej zvyšuje aj skutočnosť, že QR kódy na prvý pohľad pôsobia dôveryhodnejšie a legitímnejšie ako typické internetové odkazy.
Prečítajte si tiež: Chcete rýchlu pôžičku? Týmto službám sa vyhnite, je to nechutný podvod
„QR kód sám o sebe vyzerá neškodne a ľahko sa zaň skryje škodlivý úmysel. Navyše vytvoriť QR kód je veľmi jednoduché, existuje mnoho bezplatných stránok, ktoré s tým pomôžu,“ hovorí Petr Kadrmas, expert na bezpečnosť zo spoločnosti Check Point.
Ako už bolo zmienené, väčšinou sa podvodníci prostredníctvom QR kódov snažia presmerovať ľudí na falošné webové stránky, kde je od nich požadované vyplnenie citlivých údajov. Tieto stránky pritom môžu pôsobiť pravo, teda dôveryhodne. Akonáhle však obeť do vyhranených polí zadá svoje údaje, je dobojované. Môže ísť o adresy, telefónne čísla, e-mailové kontá, ale aj prihlasovacie údaje od internetového bankovníctva.
Pretvarujú sa
Podvodníci sa pri tomto podvode zvyknú pretvarovať za niekoho iného. Nie zriedka si pritom volia mená známych firiem. Môžu sa „hrať“ napríklad na Microsoft a svoje obete klamať tým, že im vypršala platnosť dvojfaktorového overenia. Takéto výzvy zvyčajne odosielajú cez e-mail.
Výber redakcie: AI môže byť revolúciou v zdravotníctve: Takto dokáže pomôcť v liečbe rôznych chorôb
„Hackeri budú vždy skúšať nové taktiky a techniky a budú sa snažiť zneužívať aj bežne používané veci, ako sú QR kódy. Rozšírenosť QR kódov je v dnešnej dobe masívna, ale pri použití vhodného bezpečnostného riešenia a pri nepodceňovaní rizika nemusia mať používatelia obavy z každého QR kódu, ktorý použijú,“ vysvetľuje Kadrmas.
Ako sa chrániť?
Na skvalitnenie ochrany používateľov v online priestore existuje mnoho šikovných služieb a ochranných programov. Tie však nemusia byť účinné v každom scenári. Preto je dôležité, aby sa ľudia na internete snažili chrániť aj sami a nespoliehať sa na tretiu stranu. To pritom nemusí byť vždy náročná úloha. Stačí byť viac obozretný, čiže viac preverovať, overovať a pýtať sa.
Čo sa týka quishingu (aj phishingu), ak náhodou obdržíte podozrivý e-mail s QR kódom či internetovým odkazom, vždy skontrolujte adresu odosielateľa. Útočníci síce môžu v správe vystupovať ako určitá firma, no ak riadok odosielateľa obsahuje iné meno ale nezmyselné kombinácie písmen a čísel, máte prvý pádny dôvod na nedôveru. Pre istotu si odosielateľa zablokujte, e-mailovú správu vymažte a varujte pred ňou aspoň svojich blízkych.
Najnovšie recenzie:
- RECENZIA DLNRG B500: Elektrostanica na cesty aj na záhradu
- RECENZIA Samsung Galaxy Z Fold 5
- RECENZIA Samsung Galaxy Z Flip5: Radosť s každým otvorením!
No čo ak sa náhodou necháte zlanáriť a kliknete na odkaz alebo naskenujete QR kód? Ešte to nemusí byť konečná. Ak budete presmerovaní na webovú stránku, okamžite skontrolujte jej URL adresu. Neexistujú dve rovnaké domény, preto ak sa útočníci vydávajú napríklad za už zmienený Microsoft, skúste v URL adrese nájsť odlišnosti oproti oficiálnej stránke, ktorú si môžete otvoriť na novej karte. Ak si nejakých odolností všimnete, stránku okamžite zatvorte.
Žiaľ, neexistuje jednotný spôsob ochrany pred všetkými typmi útokov. Útočníci totiž volia rôzne taktiky. Niektorí sa snažia obete lákať na výhodné investovanie, niektorí to skúšajú cez varovania o vypršaní platnosti určitej funkcie alebo systému, niektorí upozorňujú na údajné nezaplatené faktúry.
Avšak jeden tip, ktorý by mohol byť užitočný vo väčšine scenárov, by sa asi našiel – vždy si všetko overujte. Ak vám náhodou príde SMS správa upozorňujúca na nezaplatený balík, ktorý vám má byť v ten deň doručený, zistite si, či vám vôbec má byť v daný deň niečo doručené. A ak si nie ste istí, vždy môžete kontaktovať daný subjekt, ktorý sa v SMS správe uvádza a spýtať sa. Pre istotu si však kontakt nájdite cez oficiálnu stránku.
„Oficiálne“ podvody
Zvyčajne sa sa podvodníci pri phishingu alebo quishingu tvária ako niekto iný. No žiaľ, útoky už dokážu realizovať aj cez oficiálne platformy. Výnimkou nie je dokonca ani najväčšia video platforma na svete, teda YouTube.
Ako sme vás informovali v samostatnom článku, na českom YouTube sa začala šíriť reklama, ktorá láka na investovanie do energetického konglomerátu ČEZ. Reklama pritom vyobrazuje tvár českého prezidenta Petra Pavla alebo Daniela Beneša, šéfa ČEZ.
Samozrejme, tento podvod už má na konte prvé obete. Jednou z nich je muž z moravsko-sliezskeho kraja, ktorý bol po zobrazení reklamy kontaktovaný údajným pracovníkom. Dostal inštrukcie, aby si stiahol aplikáciu na investovanie a následne vyplnil citlivé údaje o svojej platfobne karte a konte, s ktorým bola karta prepojená. Tieto informácie, vrátane CVV kódu, podvodníkom zdelil. Výsledok? Prišiel o 150 000 korún (zhruba 6 000 €).
