Коли хакери обходять захист пошти через QR-коди у PDF-документах – цю тактику називають quishing (QR‑code phishing). Quishing (від слів QR-code phishing) – це тип фішингової атаки, при якій зловмисники використовують QR-коди для перенаправлення користувачів на шкідливі або фальшиві сайти з метою викрадення облікових даних, грошей або встановлення вірусу.
Як це працює? Вам надсилають лист (поштою або месенджером), який виглядає як повідомлення від надійного джерела (наприклад, Microsoft, банку, служби доставки, HR-відділу). У листі або вкладенні (часто PDF, PNG, або Word-документ) міститься QR-код, який: обіцяє «перегляд рахунку», «перевірити доставку», «оновити обліковий запис» тощо; або імітує корпоративний документ для підпису (наприклад, через DocuSign). 1. Жертва сканує QR-код (переважно зі смартфона) і потрапляє на фейкову веб-сторінку, яка: виглядає як справжній сайт (Microsoft, Google, Amazon тощо); просить ввести логін, пароль, або інші персональні дані. 2. Ці дані потрапляють до хакерів, і можуть бути використані для: зламу облікових записів; крадіжки коштів; подальших атак на організацію. Що відбувається – сучасна атака QR-коди в PDF: замість розміщення фішингових QR-кодів у самому тексті листа, зловмисники почали вкладати їх у PDF-аташменти. Це ускладнює виявлення атаки стандартними фільтрами – адже у листі немає очевидних адаптів або посилань. Соціальна інженерія: листи імітують відомі сервіси – Microsoft, DocuSign, Adobe, HR-відділи, тощо.
В PDF додають QR-код із проханням «переглянути документ», «підписати файл» або «послухати повідомлення» Чому це небезпечно та як захиститися від quishing Антивіруси часто не бачать загрози, бо: 1. Відсутність видимих посилань в тілі листа – системи не фіксують фішинговий контент як підозрілий; 2. Використання особистих пристроїв (смартфонів) для сканування QR-коду часто обходить корпоративні захисні рішення – мобільні пристрої мають слабший безпековий захист; 3. Людський фактор: QR-коди сприймаються як менш підозрілі, ніж текстові посилання; така атака часто працює саме за рахунок емоцій (терміновість, авторитет бренда).
Як захиститися від quishing (https://stopfraud.gov.ua/cybersecurity-in-life/fishyngovi-posylannya-i1112) Аналіз QR-кодів: використовувати рішення, які розпізнають QR-коди всередині документів і сканують їх URL або структуру (нові ML‑моделі навіть аналізують QR як зображення без декодування) – наприклад, Abnormal AI, Perception Point, Barracuda чи Checkpoint; Багатофакторна автентифікація (MFA): додатковий рівень безпеки, навіть якщо логін і пароль будуть скомпрометовані; Скануйте лише з перевірених джерел – не довіряйте QR-кодам з листів або наклейок, отриманих без запиту або підтвердження джерелом.
Перевіряйте URL у прев'ю браузера після сканування – не переходьте за спрощеними або підозрілими адресами, особливо якщо запитують логін, пароль чи реквізити картки; Огляньте фізичний QR-код – можливо наклеєна наклейка з шахрайським кодом чи нерівні краї. Уникайте сканування подібних QR-кодів; Використовуйте захищені сканери, які показують URL та можуть блокувати зловмисні ресурси перед відкриттям; Не вводьте конфіденційну інформацію після сканування QR-коду без впевненості у законності сайту.
Зверніться до поліції – Кіберполіція України: https://cyberpolice.gov.ua