A kiberbűnözők egyre kifinomultabb módszerekkel élnek: látványosan átalakított, grafikai elemekkel ellátott QR-kódokat használnak adathalász (phishing) oldalak terjesztésére.

Az úgynevezett QR-kódos adathalászat – más néven quishing – eleve nehezen felismerhető fenyegetés, mivel a QR-kódok nem jelenítik meg előre a céloldal webcímét, ráadásul vizuálisan nem értelmezhetők az emberi szem számára, így a felhasználók nem tudják megítélni, hová vezet a beolvasás. A támadók ezt kihasználva egyre gyakrabban alkalmaznak színes, formailag módosított, logókkal ellátott QR-kódokat, amelyek első ránézésre hivatalos vagy megbízható forrásból származónak tűnnek.

A Help Net Security szerint ezek a grafikai átalakítások tovább rontják a felismerés esélyét. Az új típusú kódok már nem hasonlítanak a megszokott fekete-fehér négyzetrácsra: középre helyezett logók, lekerekített vagy torzított elemek, színezett minták és háttérképek olvadnak össze a QR-kód struktúrájával. Bár technikailag továbbra is működőképesek, ezek a módosítások megzavarják azokat a vizuális és szerkezeti jellemzőket, amelyekre a jelenlegi automatikus felismerő megoldások építenek.

A quishing támadások különösen veszélyesek, mivel a QR-kódokat jellemzően okostelefonokkal olvassák be. Ez lehetővé teszi a vállalati számítógépeken működő biztonsági rendszerek megkerülését. Emellett a támadók fizikai környezetben is elhelyezhetnek megtévesztő QR-kódokat tartalmazó matricákat – például irodaházakban, parkolókban vagy nyilvános hirdetőtáblákon.

A NordVPN adatai szerint az amerikai felhasználók 73%-a ellenőrzés nélkül olvas be QR-kódokat, és eddig több mint 26 millió esetben irányították őket rosszindulatú weboldalakra.

A vizuálisan módosított QR-kódok jelentős kihívást jelentenek az IT-biztonság számára: megkerülik a hagyományos felismerési mechanizmusokat, és közvetlenül a mobileszközökön keresztül érik el a felhasználókat. Éppen ezért kiemelten fontos a biztonságtudatosság növelése, a QR-kódok biztonságos használatának oktatása, valamint a mobilvédelmi megoldások megerősítése.

Az eredeti cikk az Nemzeti Kiberbiztonsági Intézet oldalán érhető el.