Kyberšmejdi útočí přes QR kódy na parkovacích automatech i v e-mailech. Jak se bránit před rostoucí hrozbou?
Jednou z nejrychleji rostoucích kybernetických hrozeb poslední doby je takzvaný quishing. Při něm se útočníci snaží vylákat údaje o bankovní identitě oběti prostřednictvím QR kódů. Většina lidí přitom není při této formě podvodu dostatečně obezřetná, a tak může o své platební údaje přijít, vyplývá z průzkumného experimentu technologické společnosti ČMIS.
Quishing je jednou z podob útoků, pro které se používá podobné označení – phishing. Při něm se útočníci vydávají za důvěryhodnou osobu, typicky bankéře, s cílem vylákat přístupové údaje k bankovnímu účtu či platební kartě. „Útočníci vylepují falešné QR kódy na parkovacích automatech nebo plakátech a oběti pak přesměrují na podvodné platební brány. V e-mailech se stále častěji objevují PDF přílohy s vloženým QR kódem, který vede na škodlivý web a dokáže obejít běžné bezpečnostní filtry,“ říká generální ředitel ČMIS Václav Svátek.
Další cestou mohou být také podvržené aplikace pro čtení QR kódů, které útočníkům umožňují přístup k soukromí zařízení. „Problém je, že QR kódy působí na uživatele důvěryhodněji než odkaz v e-mailu a zároveň je dokážou snadno maskovat před technickými opatřeními. To z nich dělá atraktivní a velmi účinný nástroj pro útoky,“ upozorňuje Svátek.
ČMIS v rámci experimentu nabízela lidem na ulici pizzu za korunu. Stačilo naskenovat QR kód na krabici a zadat údaje ze své platební karty. Téměř dvě třetiny lidí tyto údaje v rámci testu poskytly. „Pizza za korunu byla neškodná, ale stejný scénář v reálném světě může znamenat, že útočníci získají přihlašovací údaje nebo otevřou přístup do firemní sítě. Obrana je přitom jednoduchá: neskenujte neznámé QR kódy, vždy ověřte, kam vedou, a nikdy nezadávejte citlivé údaje na podezřelých stránkách,“ vysvětluje.
Při skenování QR kódů prostřednictvím mobilních aplikací bank je vždy potřeba být obezřetný a zkontrolovat naskenovaný kód. „Obecně je samozřejmě potřeba si dát pozor a neskenovat venkovní a neznámé QR kódy, ale u nás má quishing obecně malou šanci na úspěch,“ uvádí Zuzana Čepelková z oddělení komunikace Komerční banky.
Potřebu kontrolovat načtené údaje zdůrazňuje i Andrea Kameníčková, expertka na klientskou bezpečnost v České spořitelně. „Vždy je nutné si zkontrolovat všechny načtené údaje, zvlášť číslo účtu a částku, aby platba neodešla na jiný účet nebo nebyla ve výši, kterou klient platit nechtěl,“ doplňuje.
Vzrůstající trend
Quishing patří v posledních letech mezi nejrychleji rostoucí kybernetické hrozby. BBC s odkazem na britské kybernetické centrum Action Fraud uvádí, že zatímco v roce 2019 bylo v zemi nahlášeno 100 případů podvodných QR kódů, loni to bylo už 1386. Podle letošních dat softwarové bezpečnostní společnosti Keepnet Labs vzrostl meziročně počet případů quishingu o 25 procent.
Jako rostoucí hrozbu vnímají quishing i banky. Například Komerční banka však zároveň uvádí, že zatím nezaznamenala případ, kdy by klient tento incident nahlásil. Ani Česká spořitelna se s nahlášením případu quishingu dosud nesetkala. I přesto však začátkem letošního roku vydala doporučení k bezpečnému zacházení s QR kódy.
„Obezřetnost v zacházení s QR kódy vnímáme stejně jako obezřetnost při práci s odkazy, které mohou lidem přijít ve zprávách nebo e-mailech. Princip je prakticky totožný. Klienty průběžně ve všech komunikacích upozorňujeme, že je nutné ověřovat, kam odkaz nebo QR kód vede, jaký je jeho zdroj a co obsahuje. Opatrnost je na místě zvlášť tehdy, pokud mají vyplňovat citlivé údaje nebo cokoli platit,“ komentuje Kameníčková.
Data Národního ústavu pro kybernetickou a informační bezpečnost ukazují, že vzrůstá i celkový počet nahlášených kybernetických incidentů. Loni ústav evidoval celkem 268 případů, což je vůbec nejvyšší roční počet. Největší nárůst meziročně zaznamenal v roce 2023, kdy počet stoupl oproti předchozímu roku o 80 procent – ze 146 na 262. Specifická data k quishingu zatím v Česku dostupná nejsou, odborníci však očekávají, že vývoj bude kopírovat zahraniční trendy.
