QR-коды должны были облегчить жизнь. Сканируйте квадрат, чтобы избежать ввода текста и добраться до нужного места. Для меню, платежей и билетов на мероприятия это удобство сохранилось. К сожалению, тот же дизайн быстрого доступа, который делает QR-коды привлекательными, может быть использован мошенниками как неожиданный инструмент.
Формат мошенничества не изменился, но путь, который они выбирают, изменился. Вместо того чтобы заманивать вас на подозрительные веб-сайты в браузере, современные атаки все чаще выходят за пределы браузера. Они полагаются на QR-коды, глубокие ссылки и вход в приложения, чтобы обойти те сигналы безопасности, которым вы научились доверять.
Этот сдвиг объясняет, почему даже осторожные пользователи с надежными паролями и многофакторной аутентификацией (MFA) все равно могут быть застигнуты врасплох. Понимание того, как работают эти атаки, является первым шагом к их предотвращению.
Table of Contents
Объяснение Quishing
Quishing — это сокращение от фишинга с использованием QR-кодов. Вместо того чтобы нажимать на вредоносную ссылку в электронном письме или сообщении, жертва сканирует QR-код, который ведет на поддельную страницу входа, вредоносный поток приложения или запрос на перехват сессии. Хотя это выглядит как небольшая вариация фишинга, этот тонкий, но мощный поворот делает его гораздо более эффективным.
Quicshing изменяет поток несколькими важными способами. Когда вы нажимаете на ссылку в браузере, вы часто можете ее проверить. Вы можете навести курсор на нее, увидеть домен, заметить орфографические ошибки или полагаться на предупреждения браузера. QR-коды полностью убирают этот момент проверки. Вы не видите назначение, пока не совершите действие.
На мобильных устройствах назначение часто открывается автоматически. Иногда это запускает веб-сайт, но все чаще открывается приложение или встроенный браузер с ограниченной видимостью того, что происходит за кулисами. QR-коды не создают новых угроз, но они убирают паузу, на которую вы обычно полагаетесь для оценки риска.
Стоит уделить время, чтобы узнать больше о механике фишинговых атак и о том, как мошенники разрабатывают убедительные ловушки. Мало что может быть хуже, чем осознать, что вы бездумно отдали свою личность или учетные данные хитро замаскированному трюку.
Почему современные мошенничества полностью избегают браузеров
На протяжении многих лет советы по безопасности сосредотачивались на браузерах, и на то есть веские причины. Браузер — это ваш портал в интернет, необходимое приложение для доступа к онлайн-аккаунтам для финансов, социальных сетей, учебы и работы. С таким количеством личных данных под угрозой, конфиденциальность и безопасность имеют первостепенное значение.
После десятилетий доработок современные браузеры отображают URL-адреса, сертификаты и предупреждения, чтобы предоставить обратную связь о безопасности. Они также поддерживают менеджеры паролей, обнаружение фишинга и другие расширения безопасности. Со временем мы научились доверять браузерам, которые защищают нас от опасностей, что привело к чрезмерной зависимости от встроенных средств защиты.
Однако последние мошенничества разработаны так, чтобы обходить многие защиты браузера. Мошенники обходят системы безопасности, маневрируя вокруг осведомленности пользователей.
QR-коды и глубокие ссылки позволяют злоумышленникам смещать решения о доверии от браузера в места, где люди менее осторожны. Камера телефона, сканирующая код, воспринимается иначе, как механический шаг, а не рискованное действие. Запрос, который открывает приложение, кажется знакомым, а не подозрительным.
Конечно, эта интеграция имеет смысл. Мобильные устройства оптимизированы для скорости и удобства. Это отлично для повседневного использования, но это означает меньше пауз, когда вы можете переосмыслить то, что собираетесь одобрить.
Глубокие ссылки, тихая помощь к квишингу
Чтобы понять, почему мошенничества на основе QR-кодов так эффективны, полезно изучить, что такое глубокие ссылки и почему они влияют на безопасность.
Глубокая ссылка — это ссылка, которая открывает конкретное приложение или экран вместо веб-сайта. Вы видели их, когда ссылка открывает банковское приложение, пост в социальных сетях или экран входа, не загружая страницу браузера.
QR-коды часто приводят к глубоким ссылкам, что может быть проблематично. Глубокие ссылки жертвуют видимостью ради скорости, и злоумышленники используют этот компромисс.
С точки зрения удобства, это полезная функция. Однако с точки зрения безопасности она удаляет детали, которые могут предупредить вас об опасности. Когда приложение открывается напрямую, вы можете никогда не увидеть полного доменного имени или сертификата. Экран входа выглядит точно так же, как тот, который вы используете каждый день, потому что в большинстве случаев это одно и то же приложение.
Злоумышленники используют это, создавая QR-коды, которые запускают поддельные процессы привязки аккаунтов, одобрения авторизации или экраны сброса пароля, которые выглядят законно.
Встроенные браузеры усложняют обнаружение мошенничества.
Даже когда QR-коды не открывают полные приложения, они часто открывают ссылки внутри встроенных браузеров приложений. Почтовые клиенты, мессенджеры и социальные платформы часто используют свои собственные встроенные браузеры вместо того, чтобы передавать ссылки в Safari или Chrome.
Встроенные браузеры имеют ограничения:
- Строки адреса могут отсутствовать или быть укорочены, скрывая критически важные детали.
- Менеджеры паролей могут не работать или вести себя непоследовательно.
- Расширения безопасности, которые блокируют или помечают риски, могут не работать.
- Детали сертификата могут быть трудными для проверки или недоступными.
Это важно, потому что мы полагаемся на эти уведомления, чтобы выявлять мошенничество. Без них становится сложнее определить, является ли страница входа легитимной или нет. Вот почему мобильные мошенничества часто успешны, даже когда безопасность на настольных компьютерах надежна.
QR-коды в сочетании с встроенными браузерами создают идеальный шторм. Пользователь никогда не видит пункт назначения заранее, и как только страница загружается, становится сложнее проверить, что они смотрят.
MFA не сломана, но доверие все еще может быть похищено.
Одним из самых запутанных событий в недавних мошеннических кампаниях является рост захватов MFA на основе QR-кодов. Эти атаки не взламывают MFA и не обходят шифрование. Вместо этого они обманывают пользователей, заставляя их самостоятельно одобрять доступ.
Рассмотрите, как работает MFA. Он защищает от украденных паролей, требуя второго подтверждения, такого как push-уведомление, код или биометрическая проверка. Предполагается, что человек, одобряющий запрос, понимает, почему он его одобряет.
Мошенничества с использованием MFA на основе QR-кодов используют это предположение. MFA все еще работает, но не может защитить от одобрений, которые вы сознательно предоставляете. Никогда не подтверждайте запрос MFA, который вы не инициировали.
В типичной атаке жертву просят отсканировать QR-код, который кажется частью легитимной проверки входа или безопасности. Сканирование кода связывает сессию злоумышленника с аккаунтом жертвы или авторизует новое устройство.
Перехват сеансов против кражи паролей
Традиционный фишинг сосредоточен на краже паролей. Современные мошенничества все чаще нацелены на что-то более ценное: активные сессии. Токен сессии представляет собой состояние входа в систему.
Если злоумышленник захватит токен сессии вашей учетной записи, ему не нужен ваш пароль или код MFA. Он уже внутри.
QR-коды и глубокие ссылки хорошо подходят для атак на основе сессий, потому что они зависят от мобильных потоков одобрения и предварительно аутентифицированных приложений. Это также объясняет, почему захваты учетных записей иногда происходят без каких-либо подозрительных уведомлений о входе. Нападающий не вошел в систему. Они унаследовали доступ.
Для более глубокого понимания того, как учетные данные и данные сессий могут быть раскрыты за пределами очевидных экранов входа, узнайте больше о том, как приложения и трекеры могут обойти ваш VPN.
Почему пользователи VPN являются привлекательными целями
Недавние атаки, нацеленные на учетные записи корпоративных VPN, подчеркивают неприятную правду о том, что компании, использующие инструменты конфиденциальности, часто становятся более привлекательными целями. То же самое касается и отдельных лиц, которым нужна более высокая безопасность.
Пользователи VPN, как правило, имеют несколько учетных записей, подписок и сохраненных способов оплаты. Они также могут быть более склонны доверять запросам на тему безопасности, предполагая, что они являются частью рутинной защиты. Злоумышленники это знают, поэтому важно быть бдительными.
Квишинг и атаки с глубокими ссылками не используют уязвимости в шифровании или туннелировании VPN. Они эксплуатируют идентичность и доверие на уровне учетной записи.
VPN защищает трафик и личность, но решения, которые вы принимаете относительно доступа, остаются критически важными для избежания мошенничества и предотвращения случайного авторизования доступа к вашим учетным записям.
Оставайтесь на шаг впереди атакующих
Защитите свою личность и аккаунты с помощью X-VPN
30-дневная гарантия возврата денег, 100% успех
Где VPN помогает, а где нет
VPN по-прежнему играет важную роль в защите от современных мошенничеств. Он помогает, шифруя трафик в общественных Wi-Fi, предотвращая локальное перехватывание и уменьшая подверженность вредоносным точкам доступа. Он также защищает данные сессии от сетевого шпионажа, особенно на общих или незащищенных соединениях.
Думайте о VPN как о надежном фундаменте конфиденциальности, а не как о брандмауэре идентичности. VPN не проверяет QR-коды, не подтверждает запросы на вход и не предотвращает пользователей от одобрения доступа. Чтобы подробнее изучить эту тему, прочитайте наше руководство о том, как работают VPN-туннели и сквозное шифрование.
Практические способы снижения риска
QR-коды не являются по своей сути плохими. Они могут быть довольно полезными для получения дополнительной информации о бизнесе или доступа к приложениям и пользовательским руководствам. Вам не нужно отказываться от сканирования QR-кода, чтобы избежать quishing. Просто будьте внимательны и используйте этот контрольный список.
Наконец, поддерживайте устройства в актуальном состоянии и используйте многослойную защиту. Инструменты, такие как VPN, менеджеры паролей и MFA, усиливают друг друга при правильном использовании. Руководство X-VPN по ежедневным привычкам для защиты вашей цифровой идентичности хорошо связывает эти слои. Безопасность работает лучше всего, когда инструменты и поведение согласованы.
Заключительные мысли
Современные мошенничества не всегда выглядят как фишинговые письма, которых люди научились избегать много лет назад. Часто они выглядят как обычные мобильные взаимодействия, быстрые сканирования, знакомые подсказки и рутинные одобрения.
QR-коды и глубокие ссылки не создали эту проблему, но они ускорили её, переместив решения о доверии из браузеров в места, где контроль ниже.
Безопасность сегодня не заключается в одном идеальном инструменте, а в том, чтобы распознавать, когда система просит вас ей доверять, и решать, заслуживает ли это доверие.
Сильные пароли, MFA и VPN по-прежнему важны. Они работают лучше всего в сочетании с пониманием того, как манипулируется доверием.
Часто задаваемые вопросы
QR-коды по своей сути небезопасны?
Нет. QR-коды нейтральны. Риск возникает при сканировании кодов, которые вы не ожидали, или при слепом доверии QR-кодам, которые требуют входа, платежей или одобрений без контекста.
Если я использую MFA, я все еще под угрозой?
MFA значительно снижает риск, но не может защитить от одобрений, которые вы сознательно предоставляете. Рассматривайте неожиданные запросы как предупреждения.
VPN защищает от атак quishing?
VPN защищает ваше соединение, а не решения о доверии на уровне аккаунта. Он снижает сетевые риски, но не может проверять QR-коды или запросы на вход.
