סביר להניח שראיתם בעבר קוד QR, בין אם זו המסעדה האהובה עליכם המבקשת מכם 'לסרוק כדי לקרוא את התפריט' או 'צ'ק-אין' לאירועים. QR מייצג "תגובה מהירה" ומתייחס לרשת בצורת ריבוע שניתן לסרוק באמצעות כל מצלמת סמארטפון או מכשיר דיגיטלי מודרני כדי להשיק אתר או אפליקציה. אבל האם אתה מודע לכך שכאשר אתה משתמש במכשיר הדיגיטלי שלך כדי לסרוק את הקודים האלה אתה עלול לסכן את עצמך?
בעוד שקודי QR הם בהחלט אפשרות מהירה ונוחה למשווקים ולצרכנים, איומי סייבר פוטנציאליים אינם מוערכים. פושעי סייבר יכולים להטמיע כתובות URL זדוניות המכילות תוכנות זדוניות שיורידו למכשיר הדיגיטלי של הקורבנות או להפנות את קוד ה-QR לאתר דיוג שבו קורבנות תמימים עלולים לחשוף מידע אישי ופיננסי.
בעולם הדיגיטלי המהיר שלנו, רבים מאיתנו סורקים את הקודים הבלתי מזיקים לכאורה ללא מחשבה שנייה – זו הסיבה שחשוב להקדיש רגע ולחשוב פעמיים לפני הסריקה. על ידי מודעות לאיומים הפוטנציאליים הללו, אתה יכול לנווט בנוף הדיגיטלי בצורה בטוחה יותר ולהפיק את המרב מהיתרונות והנוחות שמציעים קודי QR.
מדוע קודי QR הם סיכון אבטחת סייבר?
מחקר שבוצע על ידי SecurityHQ הוכיח עלייה משמעותית בדוא"ל QR דיוג (או 'quishing') בשנת 2023. חלק מהסיבה לעלייה זו היא שרוב שירותי הדוא"ל המודרניים התאימו לסנן את רוב הודעות הספאם המכילות כתובות אתרים זדוניות, עם זאת, אין להם את היכולת לסרוק ולסנן קודי QR זדוניים. בנוסף, אנשים רבים אינם מודעים לחלוטין למגוון הסיכונים הכרוכים בקודי QR. בפריצה האתית שלו ב-TED Talkon וערעור האינטרנט, הקוסם וההאקר טום לונדון מדגים עד כמה סריקת קודי QR יכולה להיות מסוכנת באמצעות הקהל החי שלו.
פישינג נותר הכלי השולט של פושעי סייבר זדוניים. באמצעות Quishing, האקרים מסוגלים לטשטש את כתובות האתרים על ידי יצירת קוד QR ויזואלי. המשמעות היא שהקורבן לא יכול לראות את כתובת האתר ולזהות דיג פוטנציאלי של QR באי התאמה של כתובת למיקום המיועד לפני שהם סורקים, מה שמקשה על זיהוי אתרים לגיטימיים. זה נפוץ במיוחד שכן באימיילים אלה של פישינג שחקנים ישתמשו בטכניקות ליצירת תחושת לחץ ודחיפות, כגון התראה רגישה לזמן, מה שמוביל את הקורבנות לא להיות ערניים כפי שהם עשויים להיות בדרך כלל.
באוגוסט 2023, חוקרים באבטחת סייבר ב-Cofense זיהו קמפיין quishing נרחב , שכוון לחברת אנרגיה גדולה בארה"ב. לפי מחקר זה, התוקפים הצליחו לשלוח למעלה מ-1,000 מיילים, כאשר כמעט שליש (29%) כוונו לחברת האנרגיה האמריקאית ללא שם. מיילים נוספים נשלחו לחברות הפועלות בענפי התעשייה (15%), הביטוח (9%), הטכנולוגיה (7%) והשירותים הפיננסיים (6%). קודי ה-QR הזדוניים הפנו את הנמענים לדף נחיתה שקרי שנועד לחקות את דף ההתחברות של Microsoft 365. במייל נאמר לקורבנות שהם צריכים לעדכן את הגדרות החשבון שלהם בתוך שלושה ימים, מה שיוצר תחושת דחיפות מזויפת, מה שמניע את המשתמשים להזין את פרטי הכניסה שלהם כדי שיוכלו לגנוב אותם על ידי שחקנים זדוניים.
הגדר אימות רב גורמים
הגנה יזומה על אבטחת החשבונות שלך מפני ניסיונות פריצה פוטנציאליים כרוכה בשילוב של אימות רב-גורמי (MFA) בערכת כלי האבטחה הדיגיטלית שלך.
אימות רב-גורמי היא שיטת אימות המאפשרת למשתמש גישה לאתר אינטרנט או אפליקציה באמצעות תהליך התחברות רב-שלבי. זה כרוך לעתים קרובות באישור ניסיון הכניסה דרך דרכים כגון בין מכשירים, הודעות דחיפה או כתובות ליצירת קשר. אם אתה משתמש לעתים קרובות בבנקאות סלולרית, סביר להניח שכבר נתקלת בסוג של אימות רב-גורמי.
המרכז הלאומי לאבטחת סייבר (NCSC) ממליץ ליישם אימות דו-גורמי עבור חשבונות 'בעל ערך גבוה' וכל כתובות האימייל . הסיבה לכך היא שחשבונות דואר אלקטרוני מספקים מסלול לפושעי סייבר לאיפוס סיסמאות בחשבונות אחרים. ככל שיותר חשבונות נהנים משכבת אבטחה נוספת זו, כך ההגנה מפני התקפות סייבר פוטנציאליות חזקות יותר.
עם זאת, עם כל שכבות האבטחה הנוספות מגיעות עוד דרכים לניצול של פושעי סייבר. בהתקפות עייפות של אימות רב-גורמי, הידועים גם בשם MFA Bombing או MFA Spamming, שחקנים זדוניים ישלחו בהתמדה בקשות אימות של גורם שני למייל, לטלפון או למכשירים הרשומים של הקורבן במטרה ללחוץ על הקורבן לאשר את זהותו באמצעות הודעות. התקפות אלו גורמות לרוב להפקדה של תוכנת כופר במטרה לגנוב נתונים רגישים על מנת לסחוט חברות ויחידים לצורך החזרתם. תהליך זה מאמת בטעות את הניסיון של התוקף לגשת לחשבון או למכשיר של הקורבן. לעתים קרובות קודמות להתקפות MFA צורות אחרות של פשעי סייבר, כולל דיוג לאיסוף מידע ראשוני, יצירת בסיס להתקפת עייפות אימות רב-גורמי – אז היו ערניים והגנו על עצמכם .
אנשים וארגונים כאחד חייבים לנקוט באמצעי הגנה קפדניים, כולל להישאר מעודכן לגבי טקטיקות הדיוג העדכניות ביותר, שימוש בפרוטוקולי אבטחת סייבר חזקים, והיזהר מכל מידע המשותף באינטרנט.
בנוסף לשימוש במספר מכשירים או כתובות ליצירת קשר לצורך אימות, שקול לשלב שיטות אימות ביומטריות כמו טביעת אצבע או זיהוי פנים. אלה מוסיפים שכבה נוספת של התאמה אישית ואבטחה. הפעל באופן שגרתי ביקורות אבטחה ארגוניות ואישיות שבמהלכן אתה מוודא שסיסמאות אינן חוזרות או נפגעות, מפעיל סריקות תוכנות זדוניות, בדוק שהמכשירים מאובטחים, במיוחד אם התחברת לכל Wi-Fi ציבורי או קודי QR ציבוריים סרוקים.
על ידי אימוץ אמצעי אבטחה מקיפים אלה, אתה תורם באופן משמעותי לשמירה על המידע הרגיש והמכשירים הדיגיטליים שלך.
