Článek
Ještě v roce 2021 měl quishing mezi ostatními hackerskými útoky podíl pouze 0,8 %, v letošním roce je to ale podle zprávy Threat Intelligence nezanedbatelných 10,8 %. Je tedy evidentní, že si útočníci podvodné QR kódy skutečně oblíbili.
„V roce 2021 a 2022 byly QR kódy v phishingových e-mailech relativně vzácné – představovaly 0,8 % a 1,4 % všech zachycených útoků. V roce 2023 však quishing vyskočil na 12,4 % a v první polovině roku 2024 dosud na 10,8 %,“ komentoval výsledky zprávy o aktuálních kyberhrozbách Jack Chapman, viceprezident kyberbezpečnostní společnosti Egress.
Internetoví podvodníci útočí ve vlnách. Reagují podle dění v Česku
Čísla ještě porostou
Vzhledem k tomu, že do konce roku zbývá ještě šest měsíců, je velmi pravděpodobné, že v celoročních statistikách bude podíl quishingu ještě citelně vyšší. Očekává se, že loňské rekordy budou překonány.
Quishing se velmi podobá klasickým phishingovým podvodům, při kterých kyberšmejdi šíří prostřednictvím spamových zpráv odkazy na podvodné webové stránky, případně zavirované soubory v příloze.
Jak už je ze samotného názvu patrné, základem této hackerské techniky je však QR kód. „Ten sám o sobě vypadá neškodně a snadno se za něj skryje škodlivý úmysl. Pokud není původní obrázek naskenován, bude vypadat jen jako obyčejný obrázek. Navíc vytvořit QR kód je velmi snadné, existuje spousta bezplatných stránek, které s tím pomohou,“ konstatoval Petr Kadrmas, bezpečnostní expert Check Pointu.
„Za QR kódy se většinou skrývá odkaz. Hackeři, nebo kdokoli jiný, mohou tímto odkazem uživatele přesměrovat například na stránku, jejímž cílem jsou krádeže přihlašovacích údajů,“ podotkl Kadrmas.
Takto probíhá útok
Zároveň popsal i jeden ze zachycených případů, který zneužívá značku Microsoft. „Záminkou může být, že vypršela platnost vícefaktorového ověřování společnosti Microsoft a je třeba vše znovu ověřit. Ačkoli je ve zprávě uvedeno, že pochází od oddělení zabezpečení společnosti Microsoft, adresa odesílatele je jiná,“ popsal průběh podvodu bezpečnostní expert.
„Jakmile však uživatel naskenuje QR kód, bude přesměrován na stránku, která vypadá jako stránka společnosti Microsoft, ale ve skutečnosti je to jen stránka pro sběr přihlašovacích údajů,“ doplnil Kadrmas.
Podle něj budou hackeři vždy zkoušet „nové taktiky a techniky a budou se snažit zneužívat i běžně používané věci“, jako jsou například i QR kódy. Rozšířenost QR kódů je v dnešní době masivní a málokoho by patrně napadlo, jak snadno zneužitelné mohou být.
Co je QR kód?
QR kódy se na první pohled výrazně neliší od obyčejného čárového kódu. Obsahuje ale daleko více informací, které mohou využít především mobilní telefony při přístupu na internet. Všechny informace z kódu získáte velice jednoduše pouhým přiložením fotoaparátu ke QR značce. Za QR kódy se většinou skrývá odkaz na webové stránky.
Útočili hlavně v zahraničí
Check Point varoval již dříve, že jen na přelomu loňského léta a podzimu došlo k nárůstu podvodů využívajících QR kódy o rekordních 578 procent.
Kyberšmejdi se však s quishingem zaměřovali prozatím především na zahraniční uživatele. S ohledem na množství zachycených podvodů je ale patrně jen otázkou času, než budou stejné phishingové podvody zkoušet i v tuzemsku. Uživatelé by se tedy měli mít při používání QR kódů na pozoru.
Podvodníci si hrají na novináře
Uživatelé by se měli mít na pozoru před různými investičními podvody, ve kterých útočníci zneužívají jméno zpravodajského serveru Novinky.cz. Na snadné výdělky lákají podvodníci zpravidla v souvislosti se známými osobnostmi. V posledních měsících se objevily například falešné články s prezidentem Petrem Pavlem či moderátorem Janem Krausem.
Jde nicméně o typický phishingový podvod, kdy se útočníci snaží pod vidinou snadného zisku z lidí vylákat peníze. Podvod je to ale poměrně propracovaný, všechny odkazy ve falešném článku vedou na další podvodný web.
Aby důvěřivce kyberzločinci co nejvíce zmátli, nechtějí po něm v některých případech vyplňovat okamžitě čísla kreditních karet ani odesílat žádné peníze. Vše začíná registrací na dané platformě, načež uživatele bude kontaktovat správce platformy. Teprve s jeho pomocí jsou pak z důvěřivců vylákány peníze. Nemusí ho přitom kontaktovat pouze e-mailem, ale klidně i telefonicky.
Poradíme, na co si dát pozor a jak nesednout podvodníkům na lep, a to v dříve uveřejněném článku.
Chtěla vydělávat sledováním videí, nakonec přišla o 120 tisíc
