QR コードによるフィッシング (「Quishing」とも呼ばれる) は、攻撃者が革新的な方法でこれらのコードを悪用してデバイスをハッキングし、データを盗むため、これまで以上に危険になっています。
ウェブサイトに掲載されたレポートによると シリコンアングルサイバー犯罪者はQRコードに悪意のあるJavaScriptを埋め込み、スキャンされると自動的に実行するようにしています。さらに危険なのは、標的のユーザーがスキャン後に表示されるリンクをクリックすることなく、デバイスに侵入されてしまうことです。
この方法は、 QRコードに対する従来の脅威スキャン後に表示されるリンクをクリックすると、ユーザーを悪質な Web サイトにリダイレクトするだけです。
代わりに、この新しい手法では、URI(Uniform Resource Identifiers)を使用してHTMLとJavaScriptをQRコードに直接埋め込みます。つまり、マルウェアはブラウザ内で完全に動作し、ログインページを乗っ取り、入力内容をスパイし(キーロガー)、即座にエクスプロイトを実行することができます。
悪意のあるJavaScriptは、一度起動すると、隠しフォームを使ってデータを抽出し、デバイスのフィンガープリントを識別することもできます。さらに懸念されるのは、この悪意のあるコードは、マルウェアがコード自体に埋め込まれているため、実行時に外部のURLに接続しないため、ほとんどのセキュリティプログラム、ツール、システムを回避できることです。同様に、 INKYレポート このトピックでは、攻撃者は既にこれらの新しいフィッシング技術を使用して、 危険なマルウェア そして発見を逃れる。
悪質なQRコードから身を守る方法:総合ガイド
言うまでもありませんが、私たちはこれを強調します。 不明な QR コードをスキャンしないでください。はい、その通りです。ソースが不明または望ましくない場合は、スキャンしないでください。デジタルの安全は注意から始まります。
何らかのアクションやアクティビティを完了するためにQRコードをスキャンするよう求めるメールやテキストメッセージを受け取った場合、特にメッセージが緊急性を伝えている場合は、リクエストを送信したメールやテキストメッセージに返信するのではなく、既知の電話番号、チャットチャネル、または会社の公式連絡先を通じて送信者に直接連絡してください。コードのスキャンが求められているかどうかを、各自で確認してください。これは、リクエストの真正性を確認し、詐欺の被害に遭わないための重要なステップです。
QRコードをスキャンした後、アクセス先のサイトが正当なサイトであることを確信できる場合を除き、ログイン情報やその他の個人情報を絶対に提供しないでください。一見良さそうに見えても、URLをよく確認してください。詐欺師は、ユーザーを騙すために、元のURLに非常によく似たURLをよく使うことがよくあります。
同時に、モバイルOSまたはQRコードスキャナーアプリでブラウザを自動的に開く機能も無効にしてください。これにより、リンクを確認する前にスキャナーがリンクを開くことを防ぐことができます。また、URLを開いてから開くQRコードスキャナーを使用していることを確認してください。これらの設定により、悪質なリンクに対する保護がさらに強化されます。
あらゆるフィッシングの脅威と同様に、緊急性や脅威を伝えるメッセージ(メール、テキストメッセージ、ソーシャルメディアなど)には細心の注意を払い、疑念を抱くようにしてください。アカウントの無効化、法的措置、アカウントの一時停止、不正ログイン、あるいは即時の行動を求める脅迫を含むメッセージは、潜在的な攻撃と見なすべきです。こうした手口はフィッシング詐欺でよく見られ、ユーザーに性急な決断を迫ることを目的としています。
QRコードを含む不審なメールを受け取った場合は、職場のITチームまたはセキュリティチームに報告してください。個人アカウントで同様のメッセージを見かけた場合は、いつでもスパムまたはフィッシングの疑いがあるとして報告できます。これらのメッセージを報告することで、他の人が詐欺の被害に遭うのを防ぐことができます。
QRコードの圧倒的な普及と、レストランなどの公共の場でのスキャンが当たり前になっていることを考えると、この脅威がすぐに消えることはないと思います。GoogleとAppleの両社が、AndroidとiPhoneユーザーを悪質なQRコードから保護するための対策を講じてくれることを期待します。このデジタル時代において、ユーザーの安全を守るためには、堅牢なセキュリティメカニズムの開発が不可欠です。
コメントは締め切りました。