Jak útoky přes QR kódy fungují
Zneužitý QR kód může být vložen do e-mailu, přiložen v PDF příloze nebo fyzicky vytištěn na letáku. Uživatel kód naskenuje ve snaze rychle získat požadovanou informaci – a tím nevědomky otevře cestu útočníkovi. Odkaz ukrytý v kódu vede na podvodnou stránku, která napodobuje legitimní prostředí a žádá zadání přístupových údajů. Tím se citlivé informace dostanou přímo do rukou útočníků.
Důvěra a spěch – dva spojenci podvodníků
Kyberzločinci využívají fakt, že lidé vnímají QR kódy jako legitimní součást moderní komunikace – například při dvoufázovém ověřování nebo elektronických platbách. Pokud je QR kód označen jako naléhavý nebo souvisí s důvěryhodnou značkou, má uživatel tendenci jednat bez ověření. Právě tato kombinace důvěry a spěchu často vede ke kliknutí na škodlivý odkaz.
Phishing se vyvíjí, pomáhá mu i umělá inteligence
Současné phishingové kampaně jsou stále propracovanější a těží z pokroku v oblasti umělé inteligence. Ta umožňuje generovat zprávy, které se vizuálně i jazykově téměř neliší od běžné firemní komunikace. QR phishing je jen jedním z mnoha kanálů, kterými se útočníci snaží získat přístup k firemním systémům a datům. Podle globálních dat společnosti OPSWAT tvoří phishing až tři čtvrtiny kybernetických útoků v kritické infrastruktuře.
Jak se bránit
Efektivní obrana proti QR phishingu vyžaduje kombinaci technických opatření a lidské obezřetnosti. Firmy by měly využívat komplexní bezpečnostní řešení – například filtrování URL adres, skenování e-mailových příloh, technologie pro sanitizaci souborů nebo sandboxy pro detekci neznámých hrozeb. Stejně důležité je však pravidelné školení zaměstnanců: jak rozeznat podezřelý QR kód, ověřit jeho zdroj a neklikat bez rozmyslu.
Na co si dát pozor v praxi
QR kód v e-mailu od neznámého odesílatele, nálepka s kódem přelepená na veřejně přístupném místě nebo faktura, která vypadá nezvykle – to všechno mohou být nástrahy. Pokud není jasné, odkud QR kód pochází, je bezpečnější jej neskenerovat. A pokud uživatel po naskenování kódu zamíří na stránku, která žádá přihlašovací údaje, měl by zpozornět – zejména pokud stránka vypadá nepatrně jinak než běžná firemní nebo bankovní stránka.
