Společnost ČMIS upozorňuje na rizika quishingu neboli phishingu prostřednictvím QR kódů. Ty patří mezi nejrychleji rostoucí kybernetické hrozby, meziročně vzrostl počet útoků o 21 procent.
QR kód se podle analytiků objevil ve 22 procentech phishingových kampaní, které sloužily primárně k vylákání přihlašovacích údajů. Denně je přitom rozesláno 3,4 miliardy phishingových e-mailů. Více než polovina však vzniká kvůli lidské chybě.
„Quishing má mnoho podob. Útočníci vylepují falešné QR kódy na parkovacích automatech nebo plakátech a oběti pak přesměrují na podvodné platební brány,“ vysvětluje Václav Svátek, generální ředitel společnosti ČMIS.
V e-mailech se podle něj stále častěji objevují PDF přílohy s vloženým QR kódem, který vede na škodlivý web a dokáže obejít běžné bezpečnostní filtry. Kódy ale mohou směřovat i na stránky s falešnou reklamou nebo malwarem, případně na podvodné Wi-Fi sítě.
Dáte si ČMIZZU?
„Setkáváme se také s podvrženými aplikacemi pro čtení QR kódů, které útočníkům umožňují přístup k soukromí zařízení. Problém je, že QR kódy působí na uživatele důvěryhodněji než odkaz v e-mailu a zároveň je dokážou snadno maskovat i před technickými opatřeními. To z nich dělá atraktivní a velmi účinný nástroj pro útoky,“ upozorňuje Svátek.
ČMIS se rozhodl na toto riziko upozornit v rámci experimentu s názvem ČMIZZA. Vystoupila pod fiktivní značkou pizzerie a nabízela kolemjdoucím pizzu za jednu korunu. Stačilo naskenovat QR kód na krabici. Test odhalil, že téměř dvě třetiny lidí neváhaly a ochotně zadaly údaje ze své platební karty, protože nabídku vyhodnotili jako výhodnou příležitost.
Celá akce podle odborníků ukázala, jak snadno lze uživatele nalákat na atraktivní nabídku a přimět je k zadání citlivých informací. Stejným způsobem útočníci získávají přístup k firemním e-mailům, cloudovým úložištím nebo platebním údajům. Experiment zároveň potvrdil, že lidský faktor zůstává nejslabším článkem kybernetické bezpečnosti a pouhá technická opatření nestačí.
Těžko stravitelná čísla
„Chtěli jsme ukázat, jak snadno lidé naletí atraktivní nabídce. Pizza za korunu byla neškodná, ale stejný scénář v reálném světě může znamenat, že útočníci získají přihlašovací údaje nebo otevřou přístup do firemní sítě,“ zdůrazňuje Václav Svátek.
„Obrana je přitom jednoduchá: neskenujte neznámé QR kódy, vždy ověřte, kam vedou, a nikdy nezadávejte citlivé údaje na podezřelých stránkách. Proto musejí firmy kromě technických opatření pravidelně školit své zaměstnance, protože lidská chyba zůstává hlavní vstupní branou útoků,“ varuje.
Statistiky hrozby potvrzují: každý den je po celém světě rozesláno přibližně 3,4 miliardy phishingových e-mailů, meziročně vzrostl počet útoků o 21 procent. QR kód se objevuje ve 22 procentech phishingových kampaní.
V 90 procentech quishingových útoků jde o krádež přihlašovacích údajů a dalších citlivých dat, obvykle zaměřených na firemní e-mailové systémy, cloudové úložiště nebo nástroje pro vzdálený přístup. Experiment ČMIS ukázal, že více než 60 procent lidí bez rozmyslu načte QR kód a zadá platební údaje, aniž řeší potenciální riziko.
Nerozkoukaní nováčci ve firmách
Podle ČMIS však nejde jen o jednotlivce. Průzkumy ukazují, že jen 27 procent zaměstnanců si věří, že dokážou rozpoznat cílený phishingový e-mail. Útočníci navíc často zneužívají skutečnou firemní komunikaci, což odhalení dále komplikuje.
Vysoké riziko se týká i nových zaměstnanců, kteří v prvních 90 dnech ve firmě mají až o 44 procent vyšší pravděpodobnost, že útoku naletí. Celkově platí, že 95 procent kybernetických útoků má původ v lidské chybě.
Podle NÚKIB se počet hlášených kybernetických incidentů v Česku v roce 2023 zvýšil o 80 procent, z 146 na 262. V roce 2024 pak firmy a instituce čelily celkem 1 699 útokům, které způsobily škody ve výši 632 milionů korun.
Nejčastěji byly terčem e-shopy, školy, vzdělávací instituce a nebankovní společnosti. Specifická data k quishingu zatím v Česku dostupná nejsou, odborníci však očekávají, že vývoj bude kopírovat zahraniční trendy.
Zdroj: ČMIS
PŘEDPLATNÉ
ČLÁNKY DO MAILU