Smartphone-användare borde vara säkra från QRishing scams

Ännu en ny term för oss idag - QRishing. Denna form av phishing initieras med hjälp av QR-koder. QR-koder är de kvadratiska bilderna med en rad svartvita koder som vi ser i tidningar, tidskrifter, broschyrer, affischer etc., skanning som - vi omdirigeras till en webbplats kan spara kontakter eller öppna applikationer. Vanligen lagrar en QR-kod en URL och annan relaterad information. Användningen har ökat och används för nästan allt inklusive transaktioner på betalnings gateways och lagring av viktiga medicinska data.

Säkerhetsproblem med QR-koder

Många applikationer som använder QR-koder visar inte specifikt URL-adressen för målåtgärden, särskilt när du använder betalnings gateways. När du försöker öppna webbplatser, brukar det visa hyperlänken, men för hackare och cyberkriminella använder du URL-kortare för att dölja den slutliga länken. Dessutom kan webbadressen som visas vid skanning av en QR-kod av en mobil enhet inte visas helt i den mobila webbläsaren.

Vad är QRishing scams

QRishing översätter till Phishing med inblandning av QR-koder. Säkerhetshänsyn för QRishing höjdes för första år sedan men var inte lika mycket av ett problem som de är nu. Eftersom QRishing-attacker börjar bli vanliga, har forskning av Carnegie Mellon University, den första i sitt slag, med titeln Smartphone-användarnas mottaglighet för QR-kod Phishing Attacks genomförts för att hitta omfattningen av problemet och eventuella sårbarheter.

Precis som Phishing-attacker via e-post är nyfikenhet vad cyberkriminella använder för att få användare att skanna skadliga QR-koder. E-post phishing har varit ett känt säkerhetsproblem under ganska lång tid, för vilket alla stora webbservrar har utvecklat åtgärder för att motverka den. Samma sak verkar inte vara sant med QRishing vilket är mindre känt, mindre undersökt och nästan helt ostoppbart.

För att lägga till på detta, använder inte mobila webbläsare, oavsett om de är iPhones, Android-telefoner eller Windows-telefoner, samma säkra webbläsningstekniker som skrivbords webbläsare är, som att jämföra webbadresser till en svart lista eller åtgärder som "klicka på en knapp" osv.

Hur görs QRishing och med vilket syfte

QRishing använder socialt konstruerad bete för att göra potentiella offer skanna koden. Följande metoder har använts för samma sak:

1. Pasta ett transparent skede skadlig QR-kod ovanpå en genuin QR kod : Detta observerades först i banker där människor skulle vara mycket säkra på skannar QR-koden och måste också användas på annat håll. Anledningen till att tro på äktheten av koden är den plats den har placerats. T.ex. Om en användare står inom en välrenommerad bank eller ett statligt kontor, finns det stora chanser att lita på någon QR-kod i lokalerna på grund av förtroendet på varumärket. I en sådan situation klistra cyberkriminella en transparent skiva av den skadliga QR-koden ovanför den äkta.
2. Ändra företagsinformationen ovanför QR -koden : För att lura användarna att tro att de skulle skanna en äkta QR-kod, skulle hackaren använda QR-koden på en affisch som nämner ett äkta varumärke. T.ex. En banderoll, broschyr eller affisch på gatan som nämna en välrenommerad bank skulle be användare att skanna QR-koden på den. QR-koden skulle i sin tur vara ett phishing-försök som offret kanske inte skulle kunna känna igen.
3. Använda QR-koder som rabatt vou cher : Människor älskar rabatter och cyber- brottslingar vet det väldigt bra. Att använda QR-koder för att leda till en rabattkupong för ledande online märken som Amazon används mycket för QRishing. Snarare visar en rapport om QR-säkerhetsproblem att användarna är mycket mer benägna att öppna QR-koder som erbjuder rabatter.

Syftet med sådana attacker kan sträcka sig från att stjäla personlig information för att klicka på bete mot monetära bedrägerier. I ett känt fall av QRishing omdirigerade en universitetsstudent en QR-kod till sitt Twitter-konto bara för att få fler synpunkter på den. Han förkortade webbadressen så att den inte kunde erkännas.

En mycket farlig sak som cyberkriminella gör är att ändra QR-koderna på betalnings gateways, vilka skannas för att göra betalningar. När informationen om mottagaren avslöjas är betalningen redan gjord.

Medan de flesta av oss är medvetna om e-postfiske och skulle tänka två gånger innan vi delar våra uppgifter på en misstänkt sida, mottar vi via e-post, detsamma är inte sant med QR-koder. Om en användare riktas till en QRishing-sida som ber om hans / hennes referenser kan användaren inte misstänka bedrägerierna och ge bort referenserna.

Så här skyddar du dig från QRishing scams

Några grundläggande steg du borde ta:

1. Akta dig för mantlar på QR-koder : Den värsta typen av QRishing-attacker görs genom att klistra in ett transparent skede av en skadlig QR-kod på äkta. Ett noggrannt utseende kan hjälpa till att ta reda på det.
2. Öppna inte korta URL-adresser : Det rekommenderas att du kontrollerar en förkortad URL genom att expandera den med hjälp av vissa verktyg. Men det är inte alltid möjligt när du använder en mobil webbläsare. Snarare är webbadresserna som visas av QR-koder i en mobil webbläsare vanligen inte fullständiga. Det är bättre att undvika att öppna dem.
3. Var försiktig innan du anger din referens : Man bör alltid ange inloggningsuppgifter på en säker webbplats, vars webbadress börjar med ` //`. Gör aldrig det med slumpmässiga länkar du riktas till via QR-koder.
4. Installera säkerhetsapplikationer på din mobila enhet : Mobila webbläsare har inte tillämpat svartlistning och andra säkerhetsåtgärder som skrivbords-webbläsare än. Till skillnad från stationära webbläsare som frågar om osäkra webbplatser frågar om användaren vill ange, verifierar mobila webbläsare vanligtvis inte samma sak. Vissa säkerhetsprogram kan dock hjälpa till med detsamma.
5. Undvik QR-koder : Trots att QR-koder är en av de mest bekväma alternativen, är det bättre att undvika användningen tills tillräcklig forskning har gjorts för att göra dem säkra för allmänheten.

Den verkliga orsaken till att QRishing är ett så allvarligt bekymmer är att vi, folket, inte är beredda för det. Eftersom det är en ny term, har lite forskning gjorts för att motverka den. Medan tillräcklig medvetenhet har spridits för email phishing, tenderar folk fortfarande att lita på QR-koder.