Vés al contingut

Quishing

De la Viquipèdia, l'enciclopèdia lliure

Quishing és un mètode de frau en línia (una forma de pesca d'informació[1]), que consisteix a proporcionar a la víctima un codi QR especialment dissenyat per escanejar dispositius a la recerca d'informació.[2]

Preparació de l'atac

[modifica]
Un codi QR destruït en un espai públic

Els estafadors poden trobar la víctima mitjançant missatgeria instantània o xarxes socials i enviar-li un codi QR elaborat a través d'ells,[3] o també és possible proporcionar el codi QR d'una altra manera, per exemple en un fulletó repartit al carrer o col·locar el codi en un lloc públic.[1] L'any 2023, per exemple, uns estafadors van ser atrapats posant codis QR falsos als parquímetres a Cracòvia i que utilitzaven aquest mètode d'estafa.[4]

Per animar encara més la víctima a escanejar el codi, s'utilitzen diverses tècniques de manipulació, per exemple: es descriu que condueix a rebre un premi o a fer un pagament mòbil.[2] prometent estalviar temps i facilitar la vida, o bé difon una promoció per temps limitat.[1]

Mètodes de quishing

[modifica]

Quan la víctima escaneja el codi QR proporcionat pel pirata informàtic, se'l redirigeix a l'adreça que aquest ha preparat, per exemple:

  • de manera similar als atacs de pesca tradicionals - un lloc web que s'assembla molt al lloc web d'un banc o d'una altra institució fiable, que requereix inici de sessió - després de proporcionar les dades d'inici de sessió, són interceptats per l'atacant[1]
  • llocs web que permeten el pagament - presumptament desitjat per l'usuari (per exemple, tarifa d'aparcament)
  • llocs de descàrrega de programari maliciós[2]
  • enllaç d'autenticació per iniciar sessió al dispositiu del defraudador al compte d'usuari d'una aplicació determinada. S'ha descrit l'accés a l'aplicació de missatges de Google d'aquesta manera: aquesta acció permet al defraudador llegir els missatges SMS de la víctima, accedir a la llista de contactes des del dispositiu i enviar missatges SMS en nom de la víctima (també per càrrecs addicionals)[3]

Prevenció i defensa dels atacs de quishing

[modifica]
L'escaneig d'un codi QR amb certes aplicacions pot informar a quina URL porta el codi escanejat

Els principals mètodes de protecció contra els atacs de quishing inclouen:

  • verificar la credibilitat del codi QR i la descripció associada (per exemple en un pòster o fulletó),
  • verificant l'autenticitat de la pàgina que heu trobat després d'escanejar el codi[2]
  • tenint especial cura quan es tracten els codis QR amb un missatge que desperta emocions particulars adjuntats a ells
  • desactivant les aplicacions no fiables per accedir a la càmera del dispositiu mòbil (per evitar l'escaneig de codi no intencionat)
  • utilitzant només aplicacions oficials de pagament en llocs públics[1]

Es recomana que en cas de ser víctima d'un frau similar s'ha de denunciar a la policia.[5]

Notes a peu de pàgina

[modifica]
  1. 1,0 1,1 1,2 1,3 1,4 «Otwierasz kody QR z nieznanego źródła? Takie zachowanie może Cię drogo kosztować!» (en polonès), 10-10-2023. [Consulta: 10 abril 2024].
  2. 2,0 2,1 2,2 2,3 «Quishing - oszustwo z wykorzystaniem kodów QR - Baza wiedzy - Portal Gov.pl» (en polonès). [Consulta: 10 abril 2024].
  3. 3,0 3,1 «Oszustwa z wykorzystaniem kodów QR» (en polonès). [Consulta: 10 abril 2024].
  4. «Oszustwa z wykorzystaniem kodów QR» (en polonès). [Consulta: 10 abril 2024].
  5. «Pesca de credencials (phishing): missatges que es fan passar per entitats bancàries». [Consulta: 10 abril 2024].