QR kodlarla gelen yeni tehdit: Telefonunuzu tarayarak bile enfekte olabilirsiniz!

QR kodları aracılığıyla kimlik avı, yani "Quishing", saldırganların cihazları hacklemek ve verileri çalmak için bu kodları yenilikçi yollarla kullanmasıyla her zamankinden daha tehlikeli hale geldi.

Web sitesi tarafından yayınlanan bir rapora göre Silikon AçısıSiber suçlular artık QR kodlarına kötü amaçlı JavaScript yerleştiriyor ve kod tarandığında otomatik olarak çalıştırılıyor. Daha da tehlikelisi, hedeflenen kullanıcıların cihazlarının tehlikeye girmesi için taramadan sonra görünen bağlantıya tıklamalarına bile gerek yok.

Bu yöntem şundan farklıdır: QR kodlarına yönelik geleneksel tehditler, taradıktan sonra gösterilen bağlantıya tıkladıklarında kullanıcıları kötü amaçlı web sitelerine yönlendiriyordu.

Bunun yerine, bu yeni yöntem HTML ve JavaScript'i Tekdüzen Kaynak Tanımlayıcıları (URI'ler) kullanarak doğrudan QR kodlarına yerleştirmeyi içerir. Bu, kötü amaçlı yazılımın tamamen tarayıcı içinde çalışabileceği, burada oturum açma sayfalarını ele geçirebileceği, yazılanları gözetleyebileceği (tuş kaydedici) ve hemen istismarlar başlatabileceği anlamına gelir.

Etkinleştirildiğinde, kötü amaçlı JavaScript gizli formlar kullanarak veri çıkarabilir ve cihazın parmak izini belirleyebilir. Daha da endişe verici olanı, bu kötü amaçlı kodun çoğu güvenlik programını, aracını ve sistemini atlatabilmesidir, çünkü kötü amaçlı yazılım kodun kendisine gömülüdür ve bu nedenle yürütüldüğünde herhangi bir harici URL'ye bağlanmaz. Benzer şekilde, INKY Raporu Bu konuda saldırganlar, gizlenmek için bu yeni kimlik avı tekniklerini zaten kullanıyorlar Tehlikeli kötü amaçlı yazılım Ve yakalanmaktan kurtul.

Kötü Amaçlı QR Kodlarından Kendinizi Nasıl Korursunuz: Kapsamlı Bir Kılavuz

Söylemeye gerek yok ama şunu vurguluyoruz: Bilinmeyen QR kodlarını taramaktan kaçının.Kesinlikle. Kaynak bilinmiyorsa veya istenmiyorsa, taramayın. Dijital güvenlik dikkatli olmakla başlar.

Bir eylemi veya aktiviteyi tamamlamak için bir QR kodunu taramanızı isteyen bir e-posta veya kısa mesaj alırsanız, özellikle de mesaj aciliyet duygusu iletiyorsa, isteği gönderen e-postaya veya kısa mesaja yanıt vererek değil, bilinen bir telefon numarası, sohbet kanalı veya resmi şirket iletişim bilgileri aracılığıyla göndericiyle doğrudan iletişime geçin. Kodu taramanızı istediklerini bağımsız olarak doğrulayın. Bu, isteğin gerçekliğini doğrulamak ve dolandırıcılığa kurban gitmekten kaçınmak için önemli bir adımdır.

Ziyaret ettiğiniz sitenin meşru olduğundan kesinlikle emin olmadığınız sürece bir QR kodunu taradıktan sonra asla giriş bilgilerinizi veya diğer hassas kişisel bilgilerinizi vermeyin. URL'yi dikkatlice kontrol edin, ilk bakışta iyi görünse bile. Dolandırıcılar genellikle kullanıcıları aldatmak için orijinallerine çok benzeyen URL'ler kullanır.

Aynı zamanda, mobil işletim sisteminizde veya QR kod tarayıcı uygulamanızda tarayıcıyı otomatik olarak açan özelliği de devre dışı bırakmalısınız. Bu, tarayıcının siz önce doğrulama şansına sahip olmadan önce bağlantıları açmasını önleyecektir. Ayrıca, URL'yi açmadan önce görüntüleyen bir QR kod tarayıcısı kullandığınızdan emin olun. Bu ayarlar, kötü amaçlı bağlantılara karşı ek bir koruma katmanı sağlar.

Herhangi bir kimlik avı tehdidinde olduğu gibi, aciliyet veya tehdit duygusu taşıyan herhangi bir mesaja (e-posta, metin veya sosyal medya) karşı son derece dikkatli ve şüpheci olun. Hesap devre dışı bırakma, yasal işlem, hesap askıya alma, yetkisiz oturum açma veya hemen harekete geçme talebi içeren herhangi bir şey olası bir saldırı olarak değerlendirilmelidir. Bu taktikler kimlik avı girişimlerinde yaygındır ve kullanıcıları aceleci kararlar almaya zorlamak için tasarlanmıştır.

QR kodu içeren şüpheli bir e-posta alırsanız, bunu iş yerinizdeki BT veya güvenlik ekibinize bildirin. Kişisel hesabınızda benzer bir mesaj görürseniz, bunu her zaman spam veya olası kimlik avı olarak bildirebilirsiniz. Bu mesajları bildirmek, başkalarının dolandırıcılığın kurbanı olmasını önlemeye yardımcı olur.

QR kodlarının muazzam popülaritesi ve insanların restoranlarda ve diğer halka açık yerlerde bunları taramaya ne kadar alıştıkları göz önüne alındığında, bu tehdidin yakın zamanda ortadan kalkacağını düşünmüyorum. Umarım hem Google hem de Apple, Android ve iPhone kullanıcılarını kötü amaçlı QR kodlarından korumak için yollar uygulamaya çalışır. Bu dijital çağda kullanıcıları güvende tutmak için sağlam güvenlik mekanizmaları geliştirmek çok önemlidir.