Як зловмисники крадуть акаунти через QR-коди: нова схема атаки
QR-коди стали невід'ємною частиною повсякденного життя — ними оплачують покупки, переходять на сайти, підключаються до Wi-Fi чи переглядають меню в кафе.
Однак саме ця зручність зробила їх одним із нових інструментів кіберзлочинців. Експерти попереджають: достатньо одного необережного сканування, щоб втратити доступ до своїх акаунтів або передати шахраям конфіденційні дані, повідомляє CyberForYouth.
Як QR-коди стали новою приманкою для шахраїв
За даними Check Point Research, у період із 2021 до 2024 року кількість фішингових атак із використанням QR-кодів зросла на 900%.
Підписуйтеся на наші соцмережі
На відміну від звичайних посилань, QR-код не дозволяє користувачу одразу побачити адресу сайту, на який він потрапить після сканування. Саме цю особливість використовують шахраї, приховуючи посилання на підроблені сторінки авторизації, банківські сервіси чи сайти, що викрадають персональні дані.
Де можна зустріти фальшиві QR-коди
Небезпека вже давно вийшла за межі електронної пошти. Зловмисники наклеюють підроблені QR-коди поверх справжніх на паркоматах, автоматах оплати, інформаційних стендах, плакатах, меню ресторанів та інших громадських місцях.
Людина, яка сканує такий код, може навіть не підозрювати, що потрапила на шахрайський сайт. Фахівці зазначають, що саме така схема дозволяє кіберзлочинцям атакувати користувачів не лише онлайн, а й у фізичному просторі.
QR-коди допомагають викрадати навіть двофакторну автентифікацію
Фахівці попереджають, що сучасні атаки вже не обмежуються викраденням логіна та пароля.
Дедалі частіше використовуються схеми типу «людина посередині» (Man-in-the-Middle), коли після сканування QR-коду користувач вводить свої облікові дані на підробленому сайті. У цей момент зловмисники можуть перехопити навіть коди двофакторної автентифікації та отримати повний доступ до акаунта.
Додатковою проблемою стало використання штучного інтелекту. AI допомагає створювати надзвичайно переконливі листи, повідомлення та підроблені вебсторінки, які майже не відрізняються від справжніх.
Як убезпечити себе
Експерти радять дотримуватися кількох простих правил:
- не скануйте QR-коди з випадкових листів або повідомлень;
- уважно перевіряйте, чи не наклеєний QR-код поверх іншого;
- перед відкриттям сайту перевіряйте адресу, яку показує смартфон після сканування;
- не вводьте логіни, паролі чи банківські реквізити, якщо є хоча б найменші сумніви щодо справжності сайту;
- використовуйте багатофакторну автентифікацію та сучасні засоби захисту пристроїв.