Οι επιθέσεις κωδικών QR πιθανότατα δεν έρχονται για τα μενού σάρωσης για παραγγελία


gnews




Τεχνολογία


Οι επιθέσεις κωδικών QR πιθανότατα δεν έρχονται για τα μενού σάρωσης για παραγγελία



By

Marizas Dimitris



Οι επιθέσεις phishing που βασίζονται σε κώδικα QR φαίνεται να αυξάνονται. Για αυτό το “νέο” διάνυσμα

, κάποιος λαμβάνει ένα ηλεκτρονικό μήνυμα ηλεκτρονικού “ψαρέματος” που του ζητά να σαρώσει έναν κωδικό QR, αυτός ο κώδικας ανακατευθύνεται σε έναν κακόβουλο σύνδεσμο (συνήθως για να κλέψει διαπιστευτήρια) και λαμβάνει χώρα μια εξαγορά λογαριασμού. Οι τοπικοί ειδησεογραφικοί οργανισμοί έχουν

προειδοποίησε το κοινό

να προσέξετε, δημοσιεύσεις ηγεσίας ασφαλείας

πείτε στα στελέχη να είναι προσεκτικοί

και εταιρείες ασφαλείας

Πραγματικά

,

Πραγματικά


θέλω


εσείς


προς την


κάλεσε το


quishing

.

Για να είμαστε δίκαιοι, υπήρξαν ορισμένοι αξιοσημείωτοι τίτλοι σχετικά με αυτό τον τελευταίο καιρό. Μια μεγάλης κλίμακας εκδοχή αυτού ενάντια σε μια ανώνυμη «μεγάλη» ενεργειακή εταιρεία των ΗΠΑ ακολούθησε τη σύνδεση της Microsoft,

σύμφωνα με έκθεση του Cofense

τον Αύγουστο. Οι ερευνητές ασφαλείας ανέφεραν ομόφωνα

κάποιο επίπεδο ανόδου


ή ακίδα


στο διάνυσμα επίθεσης

Αυτή την χρονιά. Ακόμα και το

Η Ομοσπονδιακή Επιτροπή Εμπορίου προειδοποίησε τους καταναλωτές για τους κινδύνους

.

Οι φανφάρες γύρω από αυτές τις επιθέσεις, ωστόσο, υπερτερούν κυρίως της απειλής χρήσης κωδικών QR στην καθημερινή σας ζωή. Το ηλεκτρονικό ψάρεμα ήταν, και πιθανότατα θα είναι πάντα, ένας διαδεδομένος τρόπος παγίδευσης θυμάτων και αυτό που βλέπουμε όταν οι άνθρωποι μιλούν για επιθέσεις κωδικών QR είναι απλώς ένας άλλος τρόπος για να γίνει αυτό. Γι’ αυτό, παρά το πώς οι αναφορές μπορεί να γενικεύουν τους κινδύνους των κωδικών QR στο σύνολό τους, ορισμένες πρακτικές ασφαλείας κοινής λογικής που ήδη χρησιμοποιείτε για να αποφύγετε το ηλεκτρονικό ψάρεμα μπορούν να σας βοηθήσουν να αποφύγετε και αυτήν την τακτική. Άλλα προηγμένα διανύσματα επιθέσεων που βασίζονται σε QR εκτός του phishing είναι πιθανότατα πολύ περίπλοκα τεχνικά και έχουν χαμηλή ανταμοιβή για κακούς ηθοποιούς να επιχειρήσουν ή για εσάς να ανησυχείτε.

Οι επιθέσεις phishing που λειτουργούν υποδεικνύοντας το θύμα σε έναν κακόβουλο σύνδεσμο είναι απίστευτα συνηθισμένες και οι κωδικοί QR είναι ουσιαστικά απλώς ένας άλλος τρόπος εκτέλεσής τους. Οι κωδικοί QR «πετάνε σε ένα κενό ασφαλείας», δήλωσε ο Randy Pargman, διευθυντής ανίχνευσης απειλών στην εταιρεία ασφαλείας Proofpoint. Αναγκάζει ένα θύμα να απομακρυνθεί από τον

του και να μπει σε ένα

ή σε άλλη συσκευή, προσθέτοντας ένα επίπεδο απόσπασης της προσοχής.

, οι άνθρωποι είναι πιο πιθανό να πέφτουν σε έναν σύνδεσμο phishing

σε φορητή συσκευή

σύμφωνα με τον Πάργκμαν.

Η μικρότερη κλίμακα καθιστά πιο δύσκολο να ξεχωρίσετε τι είναι νόμιμο, για παράδειγμα, δεν μπορείτε να δείτε εύκολα έναν πλήρη σύνδεσμο για να επισημάνετε αποκλίσεις και γενικά τείνουμε να αισθανόμαστε πιο ασφαλείς στον κόσμο του φορητού μας υπολογιστή. Η σάρωση ενός κωδικού QR σε ένα τηλέφωνο απομακρύνει το θύμα από τον υπολογιστή του. Αυτό θα μπορούσε να σημαίνει ότι έχει λιγότερα πρόσθετα ασφαλείας εγκατεστημένα στο πρόγραμμα περιήγησής του που θα σας προειδοποιούσαν να μείνετε μακριά από ύποπτους ιστότοπους, αν και περισσότερα προγράμματα περιήγησης διαθέτουν αυτόματη προστασία και από τα δύο. Ή, αν σας μεταφέρει από μια συσκευή εργασίας σε μια προσωπική συσκευή, μια ομάδα ασφαλείας υποστηρίζει πιθανώς τον υπολογιστή, αλλά όχι το κινητό σας τηλέφωνο, με πρόσθετες προστασίες που θα σας

οδίσουν να πέσετε θύμα. Αλλά από την άλλη πλευρά, αυτό είναι πολύ λιγότερο αποτελεσματικό για απατεώνες να ρυθμίσουν. Υποθέτει ότι το θύμα έχει πρόσβαση σε δύο συσκευές, αντί να κάνει απλώς κλικ σε έναν σύνδεσμο.

Επιπλέον, οι άνθρωποι τείνουν να σαρώνουν τους κωδικούς QR, ακόμα κι αν προέρχονται από άγνωστη πηγή, επειδή είμαστε τόσο συνηθισμένοι σε αυτό, σύμφωνα με τον Fae Carlisle, κύριο μηχανικό ασφαλείας της VMware Carbon Black. «Οι άνθρωποι καλούνται τακτικά να σαρώνουν έναν κωδικό QR για να τους δείξουν έναν χάρτη ενός μέρους, να ψηφίσουν σε έναν διαγωνισμό, να επισκεφτούν το Instagram κ.λπ.», είπε ο Carlisle. «Λόγω της εγγενούς εμπιστοσύνης, οι άνθρωποι συμβαδίζουν με αυτό». Οι χάκερ φαινομενικά είδαν αυτή την τάση και κατάλαβαν ότι θα μπορούσαν να την εκμεταλλευτούν.

Ενώ η εφαρμογή των κωδικών QR σε επιθέσεις phishing είναι αρκετά απλή, η διαφημιστική εκστρατεία γύρω από τη χρήση τους σε άλλους κακόβουλους φορείς καταλήγει κυρίως εκεί. Οι επαγγελματίες ασφάλειας συμβουλεύουν να μην σαρώνετε άγνωστους κωδικούς QR, με τον ίδιο τρόπο

δεν πρέπει να συνδέσετε μια τυχαία μονάδα αντίχειρα στη συσκευή σας

. Ωστόσο, ενώ θα πρέπει να είστε πάντα σε επιφυλακή για να προστατεύεστε από επιθέσεις phishing, δεν χρειάζεται πραγματικά να ανησυχείτε για τη χρήση κωδικών QR στην καθημερινή σας ζωή, επειδή είναι ακόμα σπάνιο να τους δείτε να χρησιμοποιούνται ως τακτική hacking.

Αυτό έχει σημασία γιατί όταν σκεφτόμαστε κωδικούς QR, συνήθως δεν σκεφτόμαστε να τους λάβουμε σε email. Πιθανότατα είστε πιο εξοικειωμένοι μαζί τους από αλληλεπιδράσεις στον πραγματικό κόσμο, όπως μια παρότρυνση για δράση σε ένα φυλλάδιο ή ένα μενού σάρωσης για παραγγελία σε ένα εστιατόριο. Κοιτάζοντας τα δικά μου εισερχόμενα και την επιφάνεια εργασίας μου, οι περιπτώσεις λήψης κωδικού QR είναι ελάχιστες, με εξαίρεση ίσως ορισμένες εφαρμογές ελέγχου ταυτότητας πολλαπλών παραγόντων και τη διασταυρούμενη σύνδεση για VPN. Βασικά, για έναν χάκερ που επιδιώκει καθημερινούς στόχους, όσο λιγότερη προσπάθεια τόσο το καλύτερο, και η τοποθέτηση ενός δηλητηριασμένου κωδικού QR σε όλο το φυσικό χώρο με την ελπίδα ότι κάποιος θα τον σαρώσει είναι πολύ δουλειά, σύμφωνα με τον Pargman. Η μαζική αποστολή μηνυμάτων ηλεκτρονικού ψαρέματος είναι πολύ πιο αποτελεσματική.

Ενώ είναι επίσης δυνατό να φανταστεί κανείς μια κατάσταση ανάληψης συνδέσμου, όπου ο προορισμός των νόμιμων κωδικών QR ανακατευθύνεται σε μια κακόβουλη διεύθυνση URL, η οποία πραγματικά δεν έχει δει ακόμα. Όχι μόνο είναι μεγάλη προσπάθεια, αλλά θα απαιτούσε από έναν εισβολέα να αναγνωρίσει έναν ευρέως χρησιμοποιούμενο κωδικό QR. Αυτό θα σήμαινε την προμήθεια των πληροφοριών κώδικα και, στη συνέχεια, την ελπίδα ότι άξιζε τη δουλειά. Η “απόσυρση” μπορεί να είναι νόμιμη, αλλά η αποφυγή των κωδικών QR με κάθε κόστος πιθανότατα είναι ένα βήμα πολύ μακριά.

Εάν κάτι δεν φαίνεται σχετικά με τη σάρωση ενός κωδικού QR, κάντε παύση πριν συνεχίσετε. «Αν σαρώνετε ένα μενού του εστιατορίου και σας ζητά να συνδεθείτε στον λογαριασμό σας στο Gmail για να αποκτήσετε πρόσβαση στο μενού, αυτό είναι ένα πολύ απροσδόκητο βήμα», δήλωσε η Olesia Klevchuk, διευθύντρια μάρκετινγκ προϊόντων στην εταιρεία ασφαλείας Barracuda Networks. «Αυτά είναι τα είδη των πραγμάτων που θέλουμε να προσέχουμε». Αλλά αν απλά το θέλεις

μάθετε περισσότερα για μια έκθεση σε ένα μουσείο

ή έχουν

ανέπαφο check-in στο γυμναστήριο

μάλλον δεν έχετε τίποτα να ανησυχείτε.


VIA:

engadget.com


Οι επιθέσεις κωδικών QR πιθανότατα δεν έρχονται για τα μενού σάρωσης για παραγγελία, Οι επιθέσεις κωδικών QR πιθανότατα δεν έρχονται για τα μενού σάρωσης για παραγγελία, TechWar.gr


Παρόμοια άρθρα



Πώς να δημιουργήσετε αυτοκόλλητα στο iPhone με τις…




Κατά μέσο όρο 1.700 αναρτήσεις με εταιρικά…




Τώρα μπορείτε να επισκευάζετε μόνοι σας τα…




Sleed & Estia Home Art σε νέα 360° καμπάνια






author_name|Katie Malone


language|en-US


Personal Finance – Career & Education


phishing


provider_name|Engadget


region|US


site|engadget


Technology & Electronics






Marizas Dimitris



86045 posts


12 comments

Αφοσιωμένος λάτρης κινητών Samsung, ο Δημήτρης έχει εξελίξει μια ιδιαίτερη σχέση με τα προϊόντα της εταιρίας, εκτιμώντας τον σχεδιασμό, την απόδοση και την καινοτομία που προσφέρουν.

Γράφοντας και διαβάζοντας τεχνολογικά νέα από όλο τον κόσμο.



You might also like




More from author


Leave A Reply



Cancel Reply

Your email address will not be published.