Kódy QR jsou bezpochyby praktické, ale mohou být také zneužity podvodníky. V tomto článku najdete návod, jak se účinně chránit.

Můžete si být jisti, že v každé formě komunikace nebo zasílání zpráv se podvodníci a hackeři snaží najít způsob, jak vás zneužít – od e-mailů přes textové zprávy až po telefonáty. Tato hrozba se týká i QR (quick response) kódů.

Začátkem tohoto roku jsme byli například svědky podvodu s QR kódy zaměřeného na jednu z velkých amerických energetických společností. Bezpečnostní analytici varují, že tyto takzvané quishingové útoky jsou na vzestupu. Quishing je spojení slov “QR kód” a “phishing” – kdy záškodníci “loví” (často prostřednictvím e-mailu) soukromé informace a osobní údaje.

Jak fungují hacky pomocí QR kódů

Všichni už bychom měli znát QR kódy: mřížku černobílých čtverečků, které fungují jako jakýsi hieroglyf, který lze přeložit pomocí fotoaparátu v telefonu nebo jiném zařízení. Nejčastěji se QR kódy převádějí na adresy URL webových stránek, ale mohou také odkazovat na prostou textovou zprávu, seznamy aplikací, adresy na mapách atd.

Právě tady může dojít ke lsti – QR kódy mohou odkazovat na podvodné webové stránky stejně snadno jako na ty pravé a vy nemusíte nutně vědět, které to budou, než je navštívíte. Naskenování QR kódu obvykle zobrazí adresu URL, kterou můžete následně sledovat, ale málokdy je na první pohled jasné, jak bezpečná tato webová adresa je.

A k vytvoření QR kódu nepotřebujete nic speciálního. Nástroje jsou široce dostupné a jednoduché na použití a sestavení vlastního QR kódu není o mnoho složitější než jeho naskenování. Pokud byste chtěli vytvořit QR kód, který by odkazoval na webovou stránku sestavenou za nekalými účely, zabralo by vám to jen pár minut. QR kód by pak bylo možné nalepit na zeď, přiložit k e-mailu nebo vytisknout na dokument připravený ke skenování.

Cíle těchto webových stránek jsou stejné jako vždy: přimět vás ke stažení něčeho, co ohrozí zabezpečení vašich účtů či zařízení, nebo vás přimět k zadání přihlašovacích údajů, které budou následně předány přímo hackerům (nejspíše pomocí podvržené stránky, která se tváří jako pravá a důvěryhodná). Zamýšlené konečné výsledky jsou stále stejné, ale způsob, jak se k nim dostat, je jiný.

Vyhýbání se hackům QR kódů

Bezpečnostní opatření, která byste již měli používat, jsou stejná, jako ta která vás ochrání před hacknutými QR kódy. Stejně jako v případě e-mailů nebo rychlých zpráv nedůvěřujte QR kódům, pokud si nejste jisti, odkud pocházejí – třeba jsou připojeny k podezřele vypadajícím e-mailům nebo na webových stránkách, které nemůžete ověřit. Naproti tomu je velmi nepravděpodobné, že by QR kód na jídelním lístku v místní restauraci vygenerovali hackeři.

Samozřejmě vždy existuje možnost, že byly napadeny účty vašich přátel, rodiny a kolegů, takže si nikdy nemůžete být stoprocentně jisti, že zpráva s QR kódem je pravá. Podvodníci se obvykle snaží navodit pocit naléhavosti a poplachu: Oskenujte tento QR kód, abyste ověřili svou totožnost, zabránili vymazání svého účtu nebo využili časově omezenou nabídku.

Jako vždy by vaše digitální účty měly být co nejlépe chráněny, abyste v případě, že se stanete obětí triku s QR kódem, měli k dispozici bezpečnostní sítě. Zapněte dvoufaktorové ověřování u všech účtů, které ho nabízejí, ujistěte se, že vaše osobní údaje jsou aktuální (například záložní e-mailové adresy a telefonní čísla, která lze použít k obnovení účtů), a odhlaste se ze zařízení, která již nepoužíváte (měli byste také smazat staré účty, které již nepotřebujete).

A konečně udržujte svůj software aktuální – což je dnes naštěstí velmi snadné. Nejnovější verze oblíbených mobilních webových prohlížečů mají zabudovanou technologii pro odhalování podvodných odkazů: Tyto integrované ochrany nejsou neomylné, ale čím aktuálnější je váš prohlížeč a mobilní operační systém, tím větší máte šanci, že se vám na obrazovce zobrazí varování, pokud se chystáte navštívit nebezpečné místo na webu.

Jakub Drábek, redakce Cyberblog
Zdroj: The Hacker News
Foto: Bing
0 Comments
Submit a Comment
Zero trust bezpečnost v praxi. Co očekávat?

Zero trust bezpečnost v praxi. Co očekávat?

Termín zero trust ušel od svého vzniku dlouhou cestu. Z buzzwordu je dnes respektovaný přístup ke kyberbezpečnosti, který v posledních letech implementují firmy po celém světě. V tomto článku si přiblížíme základní prvky zero trustu a důvody proč by měl mít místo v moderním zabezpečení firem a organizací.

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

S nástupem digitální transformace a rostoucí závislostí podniků na digitálních službách je zabezpečení aplikací a rozhraní API (Application Programming Interfaces) důležitější než kdy dříve. S ohledem na to jsou zabezpečení aplikací a API dvě zásadní součásti komplexní bezpečnostní strategie. Využitím těchto postupů se organizace mohou chránit před škodlivými útoky a bezpečnostními hrozbami a především zajistit, aby jejich data zůstala v bezpečí.

„AI přítelkyně” jsou noční můrou pro soukromí

„AI přítelkyně” jsou noční můrou pro soukromí

Romantičtí chatboti shromažďují obrovské množství dat, poskytují nejasné informace o tom, jak je používají, používají slabou ochranu heslem a nejsou transparentní, tvrdí nový výzkum společnosti Mozilla.

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

Pokud jde o zabezpečení přístupu, jedno doporučení vyniká nad ostatními: vícefaktorové ověřování (MFA). Vzhledem k tomu, že samotná hesla jsou pro hackery jednoduchou prací, poskytuje MFA zásadní vrstvu ochrany proti narušení. Je však důležité si uvědomit, že MFA není bezchybné. Lze ho obejít, a často se tak i děje.

Jak být anonymnější online

Jak být anonymnější online

Na internetu jste neustále monitorováni. Hlavním viníkem je často reklamní průmysl a technologické společnosti, které jsou na reklamě silně závislé, aby vydělaly peníze ( např. Google a Meta). Na webu vás mohou sledovat neviditelné trackery a cookies vložené do webových stránek a aplikací. Přečtěte si návod, jak se stát více anonymním na internetu.

Nejhorší hacky roku 2023

Nejhorší hacky roku 2023

Minulý rok byl plný ničivých kybernetických útoků po celém světě, od ransomwarových útoků na kasina až po státem sponzorované narušení kritické infrastruktury.