В данной статье мы с вами поговорим о мобильном фишинге и использовании злоумышленниками фальшивых QR-кодов.
QR-код (Quick Response — «быстрый отклик») может содержать любую текстовую информацию, в том числе ссылки на интернет-источники. QR-код можно повсеместно встретить на рекламных щитах и листовках, в магазинах, на веб-сайтах, билетах и т. д.
Пользователь смартфона, фотографируя QR-код, должен понимать, что ссылка может привести его на страницу вредоносного приложения. Сегодня все более популярны мошеннические схемы, связанные с QR-кодами. Например, не редкость, когда злоумышленники аккуратно наклеивают свой вредоносный QR-код поверх оригинального. Это явление получило название QRishing по аналогии с фишингом.
Фишинг (phishing) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или в социальных сетях. В таком письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить его ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определённому сайту.
Фишинг — одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта, что сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее.
Тип сведений, интересующих киберпреступников, в конечном счете определит тип фишинговой атаки. Например, если целью фишинга является получение доступа к учетной записи в социальной сети, то злоумышленник попытается, используя поддельный веб-сайт, похожий на социальную сеть, принудить жертву оставить адрес своей электронной почты и пароль к сети.
Если цель киберпреступника — завладеть деньгами жертвы, то поддельный веб-сайт может содержать поля для ввода учетных данных пользователей, связанные с финансами и информацией о кредитной карте.
Статистика гласит, что 75% всех известных мобильных фишинговых сайтов были мошенническими версиями известных банковских или финансовых сайтов. Часть фишинговых сайтов разработана для имитации сайтов социальных сетей (2%) и сайтов онлайн-магазинов (4%). Небольшое число фишинговых сайтов для социальных сетей может объясняться тем, что пользователи предпочитают специальные приложения для общения в социальных сетях.
Несложно представить, насколько опасен QR-код, наклеенный в общественном месте и содержащий вредоносную ссылку.
Проблема осложняется тем, что, когда вы используете смартфон или даже планшет, вы далеко не всегда можете увидеть полную адресную строку, что существенно затрудняет понимание того, действительно ли это правильная страница или это фишинговый сайт.
Специфика смартфонов в том, что мобильные браузеры выводят на экран только одно окно браузера за один раз. Браузеры Android и iOS выводят на экран URL текущего окна в верхней строке экрана. Однако веб-сайты могут скрыть панель URL, как только страница загрузилась.
Если целевой веб-сайт скрывает свою панель URL, то мобильное приложение может загрузить фишинговый веб-сайт в браузере. На сегодня многие защищённые паролем веб-сайты, например Amazon, Facebook, скрывают свои URL.
Что делать, чтобы избежать проблем?
Пользователям:
• Перед сканированием убедитесь, что QR-код не наклеен поверх другого.
• После того, как в браузере вы откроете страницу по QR-коду, убедитесь, что это действительно тот сайт и та страница, куда вы хотели попасть.
• Установите на ваш смартфон приложения, которые могут проверять сайты на вредоносное содержимое. Особенно это важно для смартфонов на базе Android, ведь для них существуют десятки тысяч вредоносных приложений.
• Пользователям iOS и Windows Phone 8.1 не стоит обольщаться. Проблема фишинга актуальна для пользователей любых мобильных ОС.
Предприятиям:
• Сотрудник, который знает, что такое фишинг, имеет меньшую вероятность пропустить фишинговую атаку, подвергнув опасности данные компании.
• Фишинг может использоваться как один из этапов в атаке, направленной на вашу компанию. Нередко цель такой атаки — воровство денег вашей компании, корпоративный шпионаж или хищение персональных данных сотрудников. Именно поэтому крайне важно использовать комплексные решения по обеспечению безопасности. Лучшим вариантом решения будет антивирусный продукт, имеющий репутационные технологии проверки веб-страниц.
Автор статьи — Microsoft Security Trusted Advisor, MVP Consumer Security.