Quishing

Quishing és un mètode de frau en línia (una forma de pesca d'informació^[1]), que consisteix a proporcionar a la víctima un codi QR especialment dissenyat per escanejar dispositius a la recerca d'informació.^[2]

Preparació de l'atac

Els estafadors poden trobar la víctima mitjançant missatgeria instantània o xarxes socials i enviar-li un codi QR elaborat a través d'ells,^[3] o també és possible proporcionar el codi QR d'una altra manera, per exemple en un fulletó repartit al carrer o col·locar el codi en un lloc públic.^[1] L'any 2023, per exemple, uns estafadors van ser atrapats posant codis QR falsos als parquímetres a Cracòvia i que utilitzaven aquest mètode d'estafa.^[4]

Per animar encara més la víctima a escanejar el codi, s'utilitzen diverses tècniques de manipulació, per exemple: es descriu que condueix a rebre un premi o a fer un pagament mòbil.^[2] prometent estalviar temps i facilitar la vida, o bé difon una promoció per temps limitat.^[1]

Mètodes de quishing

Quan la víctima escaneja el codi QR proporcionat pel pirata informàtic, se'l redirigeix a l'adreça que aquest ha preparat, per exemple:

de manera similar als atacs de pesca tradicionals - un lloc web que s'assembla molt al lloc web d'un banc o d'una altra institució fiable, que requereix inici de sessió - després de proporcionar les dades d'inici de sessió, són interceptats per l'atacant^[1]
llocs web que permeten el pagament - presumptament desitjat per l'usuari (per exemple, tarifa d'aparcament)
llocs de descàrrega de programari maliciós^[2]
enllaç d'autenticació per iniciar sessió al dispositiu del defraudador al compte d'usuari d'una aplicació determinada. S'ha descrit l'accés a l'aplicació de missatges de Google d'aquesta manera: aquesta acció permet al defraudador llegir els missatges SMS de la víctima, accedir a la llista de contactes des del dispositiu i enviar missatges SMS en nom de la víctima (també per càrrecs addicionals)^[3]

Prevenció i defensa dels atacs de quishing

Els principals mètodes de protecció contra els atacs de quishing inclouen:

verificar la credibilitat del codi QR i la descripció associada (per exemple en un pòster o fulletó),
verificant l'autenticitat de la pàgina que heu trobat després d'escanejar el codi^[2]
tenint especial cura quan es tracten els codis QR amb un missatge que desperta emocions particulars adjuntats a ells
desactivant les aplicacions no fiables per accedir a la càmera del dispositiu mòbil (per evitar l'escaneig de codi no intencionat)
utilitzant només aplicacions oficials de pagament en llocs públics^[1]

Es recomana que en cas de ser víctima d'un frau similar s'ha de denunciar a la policia.^[5]

Notes a peu de pàgina

↑ ^1,0 ^1,1 ^1,2 ^1,3 ^1,4 «Otwierasz kody QR z nieznanego źródła? Takie zachowanie może Cię drogo kosztować!» (en polonès), 10-10-2023. [Consulta: 10 abril 2024].
↑ ^2,0 ^2,1 ^2,2 ^2,3 «Quishing - oszustwo z wykorzystaniem kodów QR - Baza wiedzy - Portal Gov.pl» (en polonès). [Consulta: 10 abril 2024].
↑ ^3,0 ^3,1 «Oszustwa z wykorzystaniem kodów QR» (en polonès). [Consulta: 10 abril 2024].
↑ «Oszustwa z wykorzystaniem kodów QR» (en polonès). [Consulta: 10 abril 2024].
↑ «Pesca de credencials (phishing): missatges que es fan passar per entitats bancàries». [Consulta: 10 abril 2024].

[zgoda-1] 1,0 ^1,1 ^1,2 ^1,3 ^1,4 «Otwierasz kody QR z nieznanego źródła? Takie zachowanie może Cię drogo kosztować!» (en polonès), 10-10-2023. [Consulta: 10 abril 2024].

[gov-2] 2,0 ^2,1 ^2,2 ^2,3 «Quishing - oszustwo z wykorzystaniem kodów QR - Baza wiedzy - Portal Gov.pl» (en polonès). [Consulta: 10 abril 2024].

[cert-3] 3,0 ^3,1 «Oszustwa z wykorzystaniem kodów QR» (en polonès). [Consulta: 10 abril 2024].

[krk-4] «Oszustwa z wykorzystaniem kodów QR» (en polonès). [Consulta: 10 abril 2024].

[5] «Pesca de credencials (phishing): missatges que es fan passar per entitats bancàries». [Consulta: 10 abril 2024].

[1]

[2]

[3]

[4]

[5]