2024 Yazar: Peter John Melton | [email protected]. Son düzenleme: 2023-12-23 18:44
Bugün bizim için yeni bir terim daha var - QRishing. Phishing'in bu formu QR kodları kullanılarak başlatıldı. QR kodları, gazetelerde, dergilerde, broşürlerde, posterlerde, vb. Görüntülenen bir dizi siyah beyaz kodları olan kare resimlerdir. Bunlar, bir web sitesine yönlendirilir, kişileri kaydedebilir veya uygulamaları açabilir. Genellikle bir QR kodu bir URL ve diğer ilgili bilgileri saklar. Kullanımı artmıştır ve ödeme ağ geçitleri üzerinde yapılan işlemler ve önemli tıbbi verilerin depolanması dahil olmak üzere neredeyse her şey için kullanılmaktadır.
QR kodlarıyla güvenlik endişeleri
QR kodlarını kullanan birçok uygulama, özellikle ödeme ağ geçitleri kullanılırken, özellikle hedef eylemin URL'sini göstermez. Siteleri açmaya çalışırken, genellikle köprüyü gösterir, ancak bilgisayar korsanları ve siber suçlular için nihai bağlantıyı gizlemek için URL kısaltıcıları kullanır. Ayrıca, bir mobil cihaz tarafından QR kodu taranarak görüntülenen URL, mobil tarayıcıda tamamen görüntülenemeyebilir.
QRishing dolandırıcılığı nedir
QRishing QR kodlarının katılımı ile Phishing'e çevrilir. QRishing ile ilgili güvenlik endişeleri ilk yıllar önce gündeme getirildi, ancak şu anda olduğu gibi bir problem değildi. QRishing saldırıları yaygınlaşmaya başladıkça, türünün ilk örneği olan Carnegie Mellon Üniversitesi'nin araştırması Akıllı Telefon Kullanıcılarının QR Kod Phishing Saldırılarına Duyarlılığı Sorunun kapsamını ve olası güvenlik açıklarını bulmak için yapılmıştır.
Phishing'e e-posta yoluyla saldırmak gibi, merak edenler siber suçluların kullanıcıları kötü niyetli QR kodlarını taraması için kullandıkları şeydir. E-posta kimlik avı, belli bir süre için bilinen bir güvenlik kaygısı olmuştur, çünkü tüm büyük web sunucuları buna karşı önlemler geliştirmiştir. Aynı şey daha az bilinen, daha az araştırılmış ve neredeyse tamamen durdurulamayan QRishing ile de geçerli değil.
Buna ek olarak, iPhone'lar, Android telefonlar veya Windows Phone'lar gibi mobil tarayıcılar, tarayıcı tarayıcılarının URL'leri kara listeye göre karşılaştırmak veya "bir tane daha tıklama düğmesi" gibi işlemler gibi aynı güvenli tarama tekniklerini kullanmaz..
QRishing nasıl yapılır ve hangi amaçla yapılır?
QRishing, potansiyel kurbanların kodu taraması için sosyal olarak tasarlanmış yem kullanır. Aşağıdaki yöntemler aynı amaçla kullanılmıştır:
- Şeffaf bir kılıf yapıştırmak Orijinal QR'nin üstünde kötü amaçlı QR kodu kod: Bu, ilk olarak, insanların QR kodunu tarama konusunda çok emin olacağı ve başka yerlerde de kullanılması gerektiği bankalarda gözlemlenmiştir. Kodun özgünlüğüne inanmanın nedeni, yerleştirildiği konumdur. Örneğin. Bir kullanıcı tanınmış bir bankada veya bir devlet bürosunda duruyorsa, markanın güveninden dolayı tesislerinde herhangi bir QR koduna güvenme olasılığı yüksektir. Böyle bir durumda, siber suçlular, orijinal olanın üstünde kötü niyetli QR kodunun şeffaf bir kılıfını yapıştırırlar.
- Şirket bilgilerini QR'nin üzerinde değiştirme kod: Kullanıcıları gerçek bir QR kodu tarayacaklarına inandırmak için bilgisayar korsanı QR kodunu gerçek bir markadan bahseden bir posterde kullanacaktı. Örneğin. Tanınmış bir bankadan bahseden sokaktaki bir afiş, broşür veya poster, kullanıcılardan QR kodunu taramasını ister. QR kodu, kurbanın tanıyamayacağı bir phishing denemesi olacaktır.
- QR kodlarını indirim olarak kullanma vou cher: İnsanlar indirimleri seviyor ve siber suçlular bunu çok iyi biliyorlar. QR kodlarını kullanarak Amazon gibi önde gelen çevrimiçi markaların indirim kuponuna yol açması QRishing için çok kullanıldı. Bunun yerine, QR güvenlik sorunları ile ilgili bir raporda, kullanıcıların indirimler sunan QR kodlarını açması daha olası olduğu görülüyor.
Bu tür saldırıların amacı kişisel bilgileri çalmaktan kandırmaktan parasal sahtekarlığa kadar değişebilir. Bilinen bir QRishing durumunda, bir üniversite öğrencisi bir QR kodunu Twitter hesabına yalnızca daha fazla görüntüleme almak için yeniden yönlendirdi. URL'yi kısaltmış ve tanınamamıştır.
Siber suçluların yaptığı çok tehlikeli bir şey, ödeme yapmak için taranan ödeme ağ geçitlerinde QR kodlarını değiştirmektir. Alıcının detayları açıklandığı zaman, ödeme zaten yapıldı.
Çoğumuz e-posta kimlik avının farkında olurken ve şüpheli bir sayfada kimlik bilgilerini paylaşmadan önce iki kez düşünürken, e-posta yoluyla alıyoruz, aynı QR kodları için de geçerli değil. Bir kullanıcı kimlik bilgilerini isteyen bir QRishing sayfasına yönlendirilirse, kullanıcı aldatmacadan şüphelenemeyebilir ve kimlik bilgilerini veremeyebilir.
QRishing dolandırıcılıklarından kendinizi nasıl korursunuz
Yapmanız gereken bazı temel adımlar:
- QR kodlarındaki kılıflara dikkat edin: QRishing saldırılarının en kötü türü, kötü niyetli bir QR kodunun şeffaf bir kılıfını gerçek bir etikete yapıştırmak suretiyle yapılır. Dikkatli bir bakış, onu bulmanıza yardımcı olabilir.
- Kısaltılmış URL'leri açmayın: İdeal olarak, bazı araçları kullanarak genişleterek kısaltılmış bir URL'yi kontrol etmesi önerilir. Ancak bu, bir mobil tarayıcı kullanırken her zaman mümkün değildir. Bunun yerine, bir tarayıcıda QR kodlarının gösterdiği URL'ler genellikle tamamlanmamıştır. Onları açmamaktan daha iyidir.
- Girmeden önce dikkatli ol kimlik bilgileri: Web adresi her zaman ‘https://’ ile başlayan güvenli bir sitede kimlik bilgilerini girmelidir. Bunu asla QR kodlarına yönlendirdiğiniz rastgele bağlantılar ile yapmayın.
- Güvenlik uygulamalarını mobil cihazınıza yükleyin: Mobil tarayıcılar, henüz masaüstü tarayıcıları gibi kara listeye alma ve diğer güvenlik önlemlerini uygulamaz.Güvenli olmayan sitelerin, kullanıcının girmek isteyip istemediğini soran masaüstü tarayıcılardan farklı olarak, mobil tarayıcılar genellikle bunları doğrulamaz. Ancak, bazı güvenlik uygulamaları aynı şekilde yardımcı olabilir.
- QR kodlarından kaçının: QR kodlarının en rahat seçeneklerden biri olmasına rağmen, kamu kullanımı için güvenli ve güvenli hale getirmek için yeterli araştırma yapılmadan bunların kullanımından kaçınmak daha iyidir.
QRishing'in bu kadar ciddi bir endişe kaynağı olmasının asıl nedeni, bizler, halkın buna hazırlıklı olmamamızdır. Yeni bir dönem olduğundan, buna karşı koymak için çok az araştırma yapılmıştır. E-posta kimlik avı için yeterli farkındalık yayılırken, insanlar hala QR kodlarına güvenme eğilimindedir.
İlgili Mesajlar:
- Spear Phishing: Açıklama, Örnekler ve Koruma
- Kimlik Avı ve Kimlik Avı Saldırılarını Tanımlama nedir
- Siber Suç Eylemleri ve Önleyici Tedbir Türleri
- Çevrimiçi Ödemeler Yapmak için Hindistan'daki en iyi Mobil Cüzdanlar Listesi
- Kimlik avı dolandırıcılığı ve saldırıları önlemek için nasıl
Önerilen:
Akıllı Işık Anahtarları vs Akıllı Işık Ampüller: Hangisi Satın Almalısınız?
Işıklarınızı telefonunuzdan veya sesinizle kontrol etmek istiyorsanız, göz önünde bulundurmanız gereken iki seçeneğiniz vardır: akıllı ampuller satın alın veya akıllı ışık anahtarları satın alın. Bu iki seçenek arasında nasıl karar vereceğiniz var.
Akıllı TV'ler Aptal: Neden Gerçekten Akıllı TV İstiyorsunuz
Akıllı bir televizyona sahip olmak harika olmaz mıydı? Şey, aslında değil. Akıllı TV'lerde çok fazla sorun var. Akıllı bir TV'niz varsa, akıllı özelliklerini gerçekten kullanmak yerine, ucuz bir set üstü kutuyla birleştirmekten daha iyi bir performans sergiliyorsunuz.
Akıllı Telefonunuza Erişim Olmadan Akıllı Telefonunuzu Şarj Etme
Bu noktada, telefonunuzu gece şarj etmek için takma eylemi, dişlerinizi fırçalamak ya da duş almak kadar sıradan bir iştir.”Ancak, prizin diğer tarafına hiçbir şey gelmediyse ne yapardınız?
Windows Phone 7'yi İş Kullanıcıları için en iyi akıllı telefon yapan şey nedir
Kurumsal kullanıcılar, Microsoft Outlook ve Microsoft Office Mobile aracılığıyla sınıfındaki en iyi üretkenliği yaşayacak ve telefon, web ve PC'de çalışabilecek uygulamalar için arayüz oluşturacaktır.
Çevrimiçi Teknik Destek Dolandırıcılıklarından ve PC Temizleme Çözümlerinden Kaçının
Bu gönderi, çevrimiçi Teknik Destek Dolandırıcılığını nasıl tanımlayacağınız ve bunlardan nasıl kaçınılacağınızı size öğretecektir. Scammers, Windows bilgisayarınız için PC Temizleme Çözümleri vaat edecektir. Bu tür sahte teknik destek dolandırıcılıklarını Microsoft, IC3 veya FTC'ye de uygulayabilirsiniz.