QR kód se stal běžnou součástí každodenního života – platíme jím, objednáváme jídlo, otevíráme dveře i přihlašujeme se do služeb. Jenže právě jeho popularitu zneužívají kyberútočníci. Česká technologická společnost ČMIS provedla experiment ČMIZZA, který ukázal, jak může vypadat phishing přes QR kód .
Co je to quishing?
Každý den je po celém světě rozesláno přibližně 3,4 miliardy phishingových e-mailů, které se snaží podvodně získat přihlašovací nebo platební údaje, a jejich počet podle statistik stále stoupá. Přitom ve 22 procentech phishingových útoků hrají roli falešné QR kódy, které působí na uživatele důvěryhodněji než odkaz v e-mailu a zároveň lépe obcházejí technická opatření. QR kód také neukazuje adresu cílového webu, a uživatel tedy nevidí, kam přesně vede.
Quishingje forma kybernetického útoku, při které útočníci zneužívají QR kódy k získání citlivých údajů, například přihlašovacích jmen, hesel nebo platebních informací.
Jak quishing funguje:
|
„Quishing“ má však mnoho podob. „Útočníci vylepují falešné QR kódy na parkovacích automatech nebo plakátech a oběti pak přesměrují na podvodné platební brány. V e-mailech se stále častěji objevují PDF přílohy s vloženým QR kódem, který vede na škodlivý web a dokáže obejít běžné bezpečnostní filtry,“ varuje Václav Svátek, generální ředitel společnosti ČMIS.
„Kódy ale mohou směřovat i na stránky s falešnou reklamou nebo malwarem, případně na podvodné Wi-Fi sítě. Setkáváme se také s podvrženými aplikacemi pro čtení QR kódů, které útočníkům umožňují přístup k soukromí zařízení,“ doplňuje ředitel společnosti ČMIS.
Kyberútoky v Česku a lidský faktor jako nejslabší článek kyberbezpečnosti
Jen technické zabezpečení proti kyberútoku bohužel nestačí, protože až 95 procent útoků je úspěšných právě díky lidské chybě, například když člověk neopatrně klikne na odkaz nebo vyplní podvodný formulář. Častým cílem jsou noví zaměstnanci, kteří ještě dostatečně neznají procesy ve firmě, nebo lidé, kteří si naopak věří příliš. Útokům nečelí jenom firmy, ale také školy a další vzdělávací instituce.
Podle Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) se počet hlášených kybernetických incidentů v Česku v roce 2023 zvýšil o 80 % proti roku 2022. V roce 2024 firmy čelily 1 699 útokům, které způsobily škody přes 632 milionů korun. „Z hlediska kyberbezpečnosti můžeme předpokládat, že útoky budou stále sofistikovanější. Zejména s rozvojem umělé inteligence a stále větším využíváním chatbotů na bázi velkých jazykových modelů je pravděpodobné, že útočníci budou mít při přípravě kybernetických útoků lepší možnosti,“ doplňuje Lukáš Kintr, ředitel NÚKIB.
Experiment ČMIZZA: Pizza za korunu
Rizikovost lidské lehkomyslnosti potvrdil i sociální výzkum v terénu, který zorganizovala společnost ČMIS. Její zástupce nabízel pod fiktivní značkou pizzerie ČMIZZA kolemjdoucím pizzu za jednu korunu. Zájemcům stačilo naskenovat QR kód na krabici a vyplnit platební údaje.
Výsledek byl alarmující: téměř dvě třetiny lidí bez váhání zadaly údaje ze své platební karty. Experiment tak realisticky ukázal, jak snadno lze uživatele nalákat a přimět je k zadání citlivých dat. „Chtěli jsme ukázat, jak snadno lidé naletí atraktivní nabídce. Pizza za korunu byla neškodná, ale stejný scénář v reálném světě může znamenat, že útočníci získají přihlašovací údaje nebo otevřou přístup do firemní sítě,“ doplňuje k experimentu Václav Svátek.
Ochrana před phishingem
Podle odborníků z ČMIS je klíčové nejen zabezpečení systémů, ale i vzdělávání uživatelů, ať soukromých osob nebo zaměstnanců firem: „Lidská chyba zůstává hlavní vstupní branou útoků. Neskenujte neznámé QR kódy, vždy ověřte, kam vedou, a nikdy nezadávejte citlivé údaje na podezřelých stránkách.“
Velkou pozornost je třeba věnovat také URL adrese, protože útočníci umí rafinovaně napodobovat známé weby. Pokud je adresa zkrácená (např. bit.ly, tinyurl), je třeba nejvyšší opatrnost, protože nevidíme skutečný cíl.
Důvěryhodný web má:
- „https“ na začátku adresy
- jasnou doménu (např. www.ceskaposta.cz, ne ceskaposta-login.net)
- žádné překlepy ani podezřelé znaky
Jak poznat falešný QR kód?
|
Obsah vznikl ve spolupráci se společností ČMIS.
