דיוג קוד QR או הפטירה התפתחו להיות מסוכנים עוד יותר.
כפי שדווח על ידי זווית הסיליקון, שחקני האיום מטמיעים כעת עומסי מטען זדוניים של JavaScript בקודי QR הגורמים להם לבצע ברגע שהם סרקו. כדי להחמיר את המצב, משתמשים ממוקדים אפילו לא צריכים ללחוץ על קישור ה- URL שצץ למכשירים שלהם כדי לחטוף.
זה שונה מאיומי קוד QR מסורתיים המפנים את המשתמשים לאתרים זדוניים כאשר הם לוחצים על הקישור שמופיע לאחר הסריקה.
במקום זאת, שיטה חדשה זו מטמיעה HTML RAW ו- JavaScript לקודי QR באמצעות מזהי משאבים אחידים של נתונים. משמעות הדבר היא כי עומסי המשא יכולים לבצע לחלוטין בתוך דפדפן, שם הם יכולים להשתלט על דפי כניסה, לשמש כקילוגרף ולהשקיע באופן מיידי ניצולים.
לאחר הפעיל, ה- JavaScript זדוני יכול גם לסובב נתונים באמצעות טפסים נסתרים ומכשירי טביעות אצבע. קודי QR זדוניים אלה יכולים להתחמק מרוב תוכניות האבטחה, הכלים והמערכות מכיוון שהעומס מובנה בקוד עצמו כך שהוא לא בא במגע עם כל כתובות אתרים חיצוניות בעת ביצוע. באופן דומה, הדו"ח של אינקי בעניין מוסיף כי שחקני איום כבר משתמשים בשיטות הדיוג החדשות הללו כדי להסתיר תוכנות זדוניות מסוכנות ולהתחמק מגילוי.
כיצד להישאר בטוחים מקודי QR זדוניים
זה צריך להיות מובן מאליו אבל נגיד את זה שוב: אל תסרוק קודי QR לא ידועיםו אֵיִ פַּעַם. אם זה מקור לא ידוע או לא רצוי, אל תסרוק אותו.
אם אתה מקבל דוא"ל או טקסט המבקש ממך לסרוק קוד QR כדי להשלים פעולה או פעילות, במיוחד אם יש תחושת דחיפות מצורפת, צור קשר ישירות עם השולח דרך מספר טלפון ידוע, ערוץ צ'אט או איש קשר של החברה – לא על ידי תגובה לדוא"ל או טקסט ששלח את הבקשה. ודא שהם צריכים שתסרק את הקוד באופן עצמאי.
לעולם אל תספק מידע על כניסה או פרטים אישיים רגישים אחרים לאחר סריקת קוד QR אלא אם כן אתה בטוח לחלוטין שהאתר שאתה נמצא בו הוא לגיטימי. בדוק את כתובת האתר בזהירות, גם אם היא נראית בסדר.
יחד עם זאת, אתה רוצה גם להשבית את התכונה שפותחת אוטומטית את הדפדפן שלך במערכת ההפעלה הניידת שלך או באפליקציית סורק קוד QR שלך. זה ימנע מהסורק שלך לפתוח קישורים לפני שתקבל הזדמנות לבדוק אותם קודם. אתה גם רוצה לוודא שאתה משתמש בסורק QR שמראה לך את כתובת האתר לפני שתפתח אותה.
כמו בכל איום דיוג, היזהר מאוד וחשד בכל הודעה (דוא"ל, טקסט, מדיה חברתית) המכיל תחושת דחיפות או איום. כל דבר שכולל איום שחשבונך ייכה, כי יינקטו פעולה משפטית, יושם השעיה, שיש להתייחס אליהן כתיבה בלתי מורשית, או שעליך לפעול כעת, כמתקפה פוטנציאלית.
אם אתה מקבל דוא"ל חשוד עם קוד QR, דווח עליו לצוות ה- IT או לצוות האבטחה שלך, אך אם מופיע בחשבון האישי שלך, אתה תמיד יכול לדווח עליו כספאם או דיוג פוטנציאלי.
בהתחשב עד כמה קודי QR פופולריים הפכו ואיך אנשים נוח ממש לסרוק אותם במסעדות ובמקומות ציבוריים אחרים, אני לא חושב שהאיום הזה ייעלם בקרוב. יש לקוות שגוגל ואפל עובדים שניהם על יישום דרכים לשמירה על משתמשי אנדרואיד ואייפון מבטוח מפני קודי QR זדוניים.
