今日、私たちにとってさらに新しい用語が登場しました –QRhish。この形式のフィッシングは、QR コードを使用して開始されます。 QR コードは、新聞、雑誌、パンフレット、ポスターなどで目にする白黒のコードが並んだ正方形の画像で、これをスキャンすると Web サイトにリダイレクトされ、連絡先を保存したり、アプリケーションを開いたりできます。通常、QR コードには URL およびその他の関連情報が保存されます。その使用は増加しており、支払いゲートウェイでの取引や重要な医療データの保存など、ほぼすべての用途に使用されています。
QRコードのセキュリティ上の懸念
QR コードを使用する多くのアプリケーションは、特に支払いゲートウェイを使用している場合、ターゲット アクションの URL を特に表示しません。サイトを開こうとすると、通常はハイパーリンクが表示されますが、ハッカーやサイバー犯罪者は URL 短縮機能を使用して最終リンクを非表示にします。また、モバイル端末でQRコードを読み取った際に表示されるURLは、モバイルブラウザでは完全に表示されない場合があります。
QRishing詐欺とは何ですか?
QRishing は、QR コードを使用したフィッシングと訳されます。 QRishing に関するセキュリティ上の懸念は最初の数年前に提起されましたが、現在ほど大きな問題ではありませんでした。 QRishing 攻撃が一般的になり始めると、カーネギーメロン大学による研究、その種の最初のタイトル、スマートフォンユーザーはQRコードフィッシング攻撃を受けやすい問題の範囲と潜在的な脆弱性を見つけるために実施されました。
まるでフィッシング攻撃サイバー犯罪者は、電子メールを通じてユーザーに悪意のある QR コードをスキャンさせるために好奇心を利用します。電子メール フィッシングはセキュリティ上の懸念としてかなり以前から知られており、そのためすべての主要な Web サーバーはこれに対抗する対策を開発しています。同じことは、あまり知られておらず、調査も少なく、ほぼ完全に止めることができないQRishingには当てはまらないようです。
これに加えて、iPhone であろうと Android スマートフォンであろうと、モバイル ブラウザーは、URL をブラックリストと比較したり、「もう 1 つボタンをクリックする」などのアクションなど、デスクトップ ブラウザーと同じ安全なブラウジング技術を採用していません。
QRishingはどのように行われ、どのような目的で行われますか?
QRishingの用途ソーシャルエンジニアリングされた潜在的な被害者にコードをスキャンさせるための餌。これには次の方法が使用されています。
- 透明シースの貼り付け正規の QR の上に悪意のある QR コードを重ねたものコード: これは、人々が QR コードのスキャンに非常に自信を持っている銀行で最初に観察されたもので、他の場所でも同様に使用されるはずです。コードの信頼性を信じる理由は、コードが配置されている場所にあります。例えば。ユーザーが評判の高い銀行や官公庁内に立っている場合、ブランドに対する信頼があるため、その敷地内にある QR コードを信頼する可能性が高くなります。このような状況では、サイバー犯罪者は、悪意のある QR コードの透明な鞘を本物の QR コードの上に貼り付けます。
- QR上の会社情報の変更コード: ユーザーをだまして本物の QR コードをスキャンしていると信じ込ませるために、ハッカーは本物のブランドについて言及したポスターの QR コードを使用します。例えば。評判の高い銀行について言及した横断幕、パンフレット、またはポスターが街頭に貼られている場合、ユーザーはそこにある QR コードをスキャンするよう求められます。 QR コードは、被害者が認識できない可能性のあるフィッシングの試みとなる可能性があります。
- QRコードを割引として利用するわあシェール:人々は割引が大好きで、サイバー犯罪者はそれをよく知っています。 QR コードを使用して Amazon などの大手オンライン ブランドの割引券にアクセスすることは、QRishing でよく使用されます。むしろ、QR のセキュリティ問題に関するレポートでは、ユーザーが割引を提供する QR コードを開く可能性がはるかに高いことが示されています。
このような攻撃の目的は、個人情報の窃取からクリックベイト、金銭詐欺まで多岐にわたります。 QRishing の既知のケースでは、大学生が QR コードの閲覧数を増やすためだけに QR コードを自分の Twitter アカウントにリダイレクトしました。彼は URL を認識できないように短縮しました。
サイバー犯罪者が行う非常に危険な行為は、支払いを行うためにスキャンされる支払いゲートウェイの QR コードを変更することです。受取人の詳細が明らかになった時点では、支払いはすでに行われています。
私たちのほとんどは電子メール フィッシングについて認識しており、電子メールで受信した不審なページで認証情報を共有する前によく考えますが、QR コードについては同じことが当てはまりません。ユーザーが資格情報を求める QRishing ページに誘導された場合、ユーザーは詐欺を疑って資格情報を渡すことができない可能性があります。
QRishing 詐欺から身を守る方法
実行する必要がある基本的な手順は次のとおりです。
- QRコードの鞘に注意: 最悪の種類の QRishing 攻撃は、悪意のある QR コードの透明な鞘を本物の QR コードに貼り付けることによって行われます。注意深く観察すると、それを見つけることができるかもしれません。
- 短縮URLを開かないでください: 理想的には、短縮 URL をいくつかのツールを使用して展開して確認することをお勧めします。ただし、モバイル ブラウザを使用している場合は、常にそれが可能であるとは限りません。むしろ、モバイルブラウザ上の QR コードによって表示される URL は、通常は完全ではありません。開けないほうが良いでしょう。
- 入力する前に注意してください資格: Web アドレスが「https://」で始まる安全なサイトに常に資格情報を入力する必要があります。 QR コード経由で誘導されるランダムなリンクでは決して行わないでください。
- モバイルデバイスにセキュリティアプリケーションをインストールする: モバイル ブラウザには、デスクトップ ブラウザのようなブラックリストやその他のセキュリティ対策がまだ適用されていません。セキュリティで保護されていないサイトへのアクセスをユーザーに尋ねるデスクトップ ブラウザとは異なり、モバイル ブラウザは通常、同じことを確認しません。ただし、特定のセキュリティ アプリケーションが同様の解決に役立つ可能性があります。
- QRコードを避ける: QR コードは最も快適なオプションの 1 つですが、公共の使用に対して安全性を確保するための十分な研究が完了するまでは、その使用を避けた方がよいでしょう。
QRishing がこれほど深刻な懸念となっている本当の理由は、私たち国民がそれに対する準備ができていないからです。新しい用語であるため、これに対抗するための研究はほとんど行われていません。電子メール フィッシングについては十分な認識が広まっていますが、人々は依然として QR コードを信頼する傾向があります。
