Quishingové útoky cielia na majiteľov elektrických áut: Ako útočníkom dupnúť na brzdu?

Cybernews, Digitálne hrozby 4. februára 2025
Quishingové útoky náhľadový obrázok ESET

Podvodníci hľadajú stále nové príležitosti, ako by mohli zbohatnúť, a tak kombinujú fyzické a digitálne techniky s cieľom ukradnúť vodičom platobné údaje.

Mnohé krajiny po celom svete v posledných rokoch rýchlym tempom presedlávajú na elektromobily. Len v roku 2023 bolo zaregistrovaných približne 14 miliónov nových elektrických automobilov, čo predstavuje 35 % ročný nárast. Celkový počet elektromobilov vo svete sa tak zvýšil na viac ako 40 miliónov. S novou technológiou však prichádzajú aj nové hrozby. Zločinecké skupiny sú vždy v strehu a hľadajú stále nové príležitosti, ako sa finančne obohatiť. Začali tak prepájať hrozby v reálnom a virtuálnom svete s cieľom kradnúť vodičom platobné údaje.

Jedným z najnovších trikov, ktorý už bol zaznamenaný vo viacerých krajinách Európy, je použitie phishingovej techniky na báze QR kódov známej ako „quishing“ na zachytenie alebo odcudzenie platobných údajov. V skutočnosti sa vôbec nelíši od techniky využívajúcej falošné QR kódy na parkovacích automatoch. Vodiči elektromobilov si musia na tento druh hrozby dávať pozor na nabíjacích staniciach.

Čo je to quishing a ako funguje?

Phishing je jednou z najobľúbenejších a najúčinnejších techník kybernetických zločincov, ktoré využívajú na dosahovanie svojich cieľov. Často je to prvý krok predchádzajúci najrôznejším druhom kybernetických hrozieb, ktoré súvisia s krádežou osobných informácií a prihlasovacích údajov alebo skrytou inštaláciou malvéru. Prečo je phishing taký efektívny? Pretože sa spolieha na prirodzenú ľudskú vlastnosť dôverovať tomu, čo nariadia jednotlivci alebo organizácie z pozície autority.

Existuje toľko variantov phishingu, že pre políciu, firemné tímy internej bezpečnosti a vládne inštitúcie môže byť náročné neustále aktualizovať svoje aktivity zamerané na zvyšovanie povedomia verejnosti. Quishing je toho dobrým príkladom. Hoci QR kódy jestvujú už od 90. rokov, quishing sa ako hrozba začal objavovať až počas pandémie. QR kódy sa vtedy stali bežným javom na hlavných mestských uliciach ako hygienickejší spôsob prístupu k najrôznejším informáciám od jedálnych lístkov až po lekárske formuláre.

Podvodníci sa chopili novej príležitosti a skutočné QR kódy začali prelepovať falošnými. Po naskenovaní sa obeť dostala na podvodnú stránku, kde mala zadať svoje prihlasovacie údaje alebo osobné informácie, prípadne si stiahnuť malvér. Vysoká efektivita tejto taktiky spočíva v tom, že u používateľov nevzbudzuje také podozrenie ako napríklad phishingové URL adresy. Mobilné zariadenia sú tiež zvyčajne horšie chránené pred kybernetickými hrozbami ako notebooky a stolové počítače, takže útočník tu má väčšiu šancu uspieť. Správa z konca minulého roka zaznamenala 51 % nárast počtu prípadov quishingu za september v porovnaní s obdobím január až august 2023.

Komplexná ochrana vášho digitálneho života

Komplexná ochrana vášho digitálneho života. Vyberte si úroveň podľa svojich potrieb.

VYBERTE SI OCHRANU

Prečo sú elektrické vozidlá v ohrození?

Vynaliezaví kriminálnici teraz prišli so spôsobom, ako tento podvod prispôsobiť novému ošiaľu okolo elektromobilov, ktorý zachvátil Európu. Podľa správ zo Spojeného kráľovstvaFrancúzskaNemecka podvodníci prelepujú legitímne QR kódy na verejných nabíjacích staniciach škodlivými kódmi. Kód má používateľov presmerovať na webovú stránku, kde môžu prevádzkovateľovi stanice (napr. Ubitricity) zaplatiť za elektrinu použitú na nabíjanie.

Ak používateľ naskenuje falošný kód, dostane sa na podvodnú stránku, ktorá ho vyzve na zadanie platobných údajov. Tie sa takto dostanú priamo do rúk útočníka. Legitímna stránka sa zvykne načítať na druhý pokus, aby mohla obeť zaplatiť za nabíjanie. Podľa niektorých správ útočníci dokonca používajú technológiu rušenia signálu, aby obeť nemohla použiť svoju nabíjaciu aplikáciu a bola tak nútená naskenovať škodlivý QR kód.

V celej Európe je viac ako 600 000 nabíjacích staníc pre elektromobily, čo dáva útočníkom množstvo príležitostí, aby vodičov nachytali na takéto podvody. Využívajú skutočnosť, že mnohí majitelia elektromobilov sú v tejto oblasti ešte nováčikmi a radšej v rýchlosti naskenujú kód, než by si stiahli oficiálnu aplikáciu na nabíjanie a platbu alebo zavolali na infolinku. Keďže nabíjacie stanice obsluhujú rôzni prevádzkovatelia, podvodníci sa snažia využiť aj tento aspekt. Naskenovať QR kód je pre používateľov často rýchlejšia a atraktívnejšia možnosť, než si sťahovať viacero rôznych nabíjacích aplikácií.

Objavili sa už viaceré správy o podvodníkoch, ktorí poľujú na motoristov nalepovaním falošných QR kódov na parkovacie automaty. V takomto prípade môže nič netušiaci vodič nielen prezradiť údaje svojej platobnej karty, ale aj dostať pokutu za nezaplatené parkovanie.

ODPORÚČANÝ ČLÁNOK
Dvakrát popremýšľaj a raz skenuj: ako môžu podvodníci zneužiť QR kódy na krádež peňazí

Ako sa chrániť pred QR phishingom?

Hoci sa zdá, že súčasné quishingové podvody sa obmedzujú len na získavanie platobných údajov prostredníctvom phishingových stránok, neexistuje dôvod, prečo by útočníci svoju techniku neupravili tak, aby sa do zariadenia obete nainštaloval malvér, ktorý nad ním prevezme kontrolu alebo z neho ukradne iné prihlasovacie údaje a citlivé informácie.

Našťastie pre vás máme niekoľko jednoduchých krokov, ktorými sa môžete riadiť, aby ste znížili riziko quishingu:

  • QR kód si pozorne prezrite. Pôsobí, akoby bol prelepený, alebo je súčasťou pôvodného nápisu? Má inú farbu alebo rozdielne písmo ako zvyšok nápisu, alebo sa odlišuje nejakým iným spôsobom? To všetko môžu byť varovné signály.
  • Nikdy neskenujte QR kód, ak nie je zobrazený priamo na samotnom termináli nabíjacej stanice či parkovacieho automatu.
  • Zvážte, či nie je lepšie platiť len cez SMS alebo oficiálnu aplikáciu príslušného prevádzkovateľa nabíjacej stanice.
  • Porozmýšľajte, či radšej nevypnúť automatické spustenie akcií po naskenovaní QR kódov, ako je otvorenie webovej stránky alebo stiahnutie súboru. Po naskenovaní kódu sa pozrite na URL adresu a skontrolujte, či ide o legitímnu doménu súvisiacu so službou a nie o podozrivú URL adresu.
  • Všímajte si, či webová stránka, na ktorú vás QR kód presmeruje, obsahuje gramatické alebo pravopisné chyby, prípadne či sa vám na nej niečo nezdá. V takom prípade môže ísť o podvodnú stránku.
  • Ak sa vám niečo nepozdáva, zavolajte priamo prevádzkovateľovi nabíjacej stanice.
  • Mnohé parkovacie automaty ponúkajú viacero možností platby, napríklad platobnou kartou, technológiou NFC alebo mincami. Ak sa vám skenovanie QR kódu nezdá ako bezpečný spôsob, využite niektorú z alternatív, aby ste sa vyhli riziku presmerovania na podvodnú stránku.
  • Ak sa domnievate, že ste sa stali obeťou podvodu, zablokujte svoju platobnú kartu a nahláste potenciálny podvod svojej banke alebo vydavateľovi karty.
  • Ak sa obávate, že ste naleteli na quishing, skontrolujte si výpis z bankového účtu a hľadajte akékoľvek podozrivé transakcie.
  • Používajte dvojfaktorovú autentifikáciu (2FA) na všetkých účtoch, ktoré ponúkajú túto dodatočnú úroveň ochrany. Táto bezpečnostná vrstva pomôže ochrániť váš účet aj v prípade, že sa podvodníkovi podarí presmerovať vás na falošnú webovú stránku a ukradnúť vaše prihlasovacie údaje.
  • Na mobilné zariadenie si nainštalujte bezpečnostný softvér od renomovaného dodávateľa.

Správy o najnovšej kampani zneužívajúcej QR kódy na phishingové podvody zrejme ešte viac prispejú k rastúcemu tlaku na zákaz používania týchto kódov na verejných miestach. Zatiaľ je však namieste zvýšiť opatrnosť a dávať si pozor.

Spracoval: tím ESET
Zdroj: Phil Muncaster – Quishing attacks are targeting electric car owners: Here’s how to slam on the brakes

Odporúčané články

Podvody typu pig butchering ilustračný obrázok ESET
Cybernews, Digitálne hrozby 22. januára 2025
Podvody typu pig butchering: Anatómia menej známej hrozby
kybernetické trendy na rok 2025 ilustračný obrázok ESET
Aktuality, Cybernews 17. januára 2025
IT predpovede na rok 2025: Ako sa mení svet kybernetickej bezpečnosti?