Види шахрайства

Корисні посилання

Зворотній зв`язок


Галерея накладок

Топ-Новини

Топ-Відео

Топ-Статті

Статті

Фальшиві QR-коди як інструмент мобільного фішингу
2015-04-15

QR-код (Quick Response - «швидкий відгук») може містити будь-яку текстову інформацію, в тому числі посилання на інтернет-джерела. QR-код можна повсюдно зустріти на рекламних щитах і листівках, у магазинах, на веб-сайтах, квитках і т. д.


Користувач смартфона, фотографуючи QR-код, повинен розуміти, що посилання може привести його на сторінку шкідливої програми. Сьогодні все більш популярні шахрайські схеми, пов`язані з QR-кодами. Наприклад, не рідкість, коли зловмисники акуратно наклеюють свій шкідливий QR-код поверх оригінального. Це явище отримало назву QRishing за аналогією з фішингом.


Фішинг (phishing) - вид інтернет-шахрайства, метою якого є отримання доступу до конфіденційних даних користувачів - логінів і паролів. Це досягається шляхом проведення масових розсилок електронних листів від імені популярних брендів, а також особистих повідомлень всередині різних сервісів, наприклад, від імені банків або в соціальних мережах. У такому листі часто міститься пряме посилання на сайт, зовні відрізнити від справжнього, або на сайт з перенаправленням. Після того як користувач потрапляє на підроблену сторінку, шахраї намагаються різними психологічними прийомами спонукати його ввести на підробленій сторінці свої логін і пароль, які він використовує для доступу до певного сайту.


Фішинг - один з різновидів соціальної інженерії, заснований на незнанні користувачами основ мережевої безпеки: зокрема, багато хто не знає простого факту, що послуги не розсилають листів з проханнями повідомити свої облікові дані, пароль та інше.


Тип відомостей, що цікавлять кіберзлочинців, в кінцевому рахунку визначить тип фішингової атаки. Наприклад, якщо метою фішингу є отримання доступу до облікового запису в соціальній мережі, то зловмисник спробує, використовуючи підроблений веб-сайт, схожий на соціальну мережу, примусити жертву залишити адресу своєї електронної пошти та пароль до мережі.


Якщо мета кіберзлочинця - заволодіти грошима жертви, то підроблений веб-сайт може містити поля для введення облікових даних користувачів, що пов`язані з фінансами та інформацією про кредитну картку.


Статистика свідчить, що 75% всіх відомих мобільних фішингових сайтів були шахрайськими версіями відомих банківських або фінансових сайтів. Частина фішингових сайтів розроблена для імітації сайтів соціальних мереж (2%) і сайтів онлайн-магазинів (4%). Невелике число фішингових сайтів для соціальних мереж може пояснюватися тим, що користувачі воліють спеціальні програми для спілкування в соціальних мережах.


Нескладно уявити, наскільки небезпечний QR-код, наклеєний в громадському місці і містить шкідливе посилання.


Проблема ускладнюється тим, що, коли ви використовуєте смартфон або навіть планшет, ви далеко не завжди можете побачити повний адресний рядок, що істотно ускладнює розуміння того, чи дійсно це правильна сторінка або це фішинговий сайт.


Специфіка смартфонів в тому, що мобільні браузери виводять на екран тільки одне вікно браузера за один раз. Браузери Android і iOS виводять на екран URL поточного вікна у верхньому рядку екрана. Однак веб-сайти можуть приховати панель URL, як тільки сторінка завантажилася.


Якщо цільової веб-сайт приховує свою панель URL, то мобільний додаток може завантажити фішинговий веб-сайт в браузері. На сьогодні багато захищених паролем веб-сайтів, наприклад Amazon, Facebook, приховують свої URL.


Що робити, щоб уникнути проблем?


Користувачам:


• Перед скануванням переконайтеся, що QR-код не наклеєний поверх іншого.

• Після того, як в браузері ви відкриєте сторінку по QR-коду, переконайтеся, що це дійсно той сайт і та сторінка, куди ви хотіли потрапити.

• Встановіть на ваш смартфон додатки, які можуть перевіряти сайти на шкідливий вміст. Особливо це важливо для смартфонів на базі Android, адже для них існують десятки тисяч шкідливих додатків.

• Користувачам iOS і Windows Phone 8.1 не варто спокушатися. Проблема фішингу актуальна для користувачів будь-яких мобільних ОС.


Підприємствам:


• Співробітник, який знає, що таке фішинг, має меншу ймовірність пропустити фішингову атаку, піддавши небезпеці дані компанії.

• Фішинг може використовуватися як один з етапів в атаці, спрямованої на вашу компанію. Нерідко мета такої атаки - злодійство грошей вашої компанії, корпоративне шпигунство чи розкрадання персональних даних співробітників. Саме тому вкрай важливо використовувати комплексні рішення по забезпеченню безпеки. Кращим варіантом вирішення буде антивірусний продукт, що має репутаційні технології перевірки веб-сторінок.

 

Джерело: pcweek.ru

Рекомендовані статті