Търсене
Close this search box.

В това, което изглежда е все по-популярен метод за атака, са идентифицирани две групи за заплахи, които използват измами с QR кодове за паркиране в Обединеното кралство и по целия свят.

Изследователите от Netcraft смятат, че една от групите е активна в Европа, особено във Франция, Германия, Италия, Швейцария и Обединеното кралство. Според първоначалните съобщения за заплахата участниците в нея подмамват нищо неподозиращите жертви да сканират злонамерени QR кодове и да въведат личната си информация. И щетите не спират дотук – в крайна сметка, тъй като QR кодовете са фалшиви, потребителите не регистрират автомобилите си за паркиране, което означава, че вероятно ще бъдат засегнати от двоен удар: потенциална финансова измама и фиш за паркиране.

Заплахата за пръв път стана обществено достояние през август, когато британският автомобилен застраховател RAC публикува предупреждение, в което съветва шофьорите да бъдат бдителни и да плащат само с карта, в брой или с официални приложения за паркиране, които вече са инсталирани на телефоните им. Според техния доклад, публикуван днес, броят на потенциалните жертви до момента е около 10 000 само в рамките на два месеца. Измамите набират такава популярност, че се разпростират отвъд Европа, в Канада и Съединените щати, което накара ФБР да издаде предупреждение номер I-011822-PSA, „Киберпрестъпници манипулират QR кодове, за да откраднат средства на жертвите“, за да привлече вниманието към проблем, който, както подозират, само ще продължи да се разраства.

Зона без право на паркиране

В Обединеното кралство всичко започна с това, което изследователите нарекоха „вълна от злонамерени QR кодове, появили се в центъра на Лондон“. Фалшивите QR кодове се намираха отпечатани върху самозалепващи се стикери и поставени на паркомати. След сканиране на QR кода потребителят, превърнал се в жертва, биваше насочван към фишинг уебсайт, представящ се за легитимно приложение за плащане на паркинг – PayByPhone. Измамите се разпространяваха в цяла Великобритания и достигнаха своя пик от юни до септември, като измамниците бяха привлекли вниманието или може би бяха специално насочени към туристи в райони като Блекпул, Брайтън, Портсмут, Саутхемптън, Конуи и Абърдийн.

Тъй като в момента в Обединеното кралство се използват около 30 приложения за паркиране, тези престъпници вероятно ще успеят да се възползват от туристите, които имат нужда от достъп до обществени паркинги с лесни и достъпни възможности за плащане.

И въпреки че настоящото изследване се фокусира върху начина, по който тези схеми засягат паркирането и туристите в частност, Робърт Дънкан, вицепрезидент на продуктовата стратегия в Netcraft, подчертава пред Dark Reading, че заплахите носят риск в контекста на бизнеса, посочвайки поредица от корпоративни опити за „quishing“ на Microsoft 365, които експлоатират корпоративни потребители, използващи собствени устройства, като по този начин ги изключват от периметъра на сигурност на предприятието и ги оставят отворени за всякакви потенциални заплахи.

PayByQuish?

Една от престъпните групи, използващи тези методи, се представя за PayByPhone и следва поредица от стъпки, за да осъществи измамата си. Първо, извършителят  „разполага с наземни ресурси“, за да организира атаката и да прикрепи QR кодовете към машините за плащане на паркинг, обяснява Дънкан. След това жертвите сканират злонамерения фалшив QR код и несъзнателно се насочват към фишинг уебсайт. Сетне жертвата следва стъпките за въвеждане на личните си данни: код на местоположението на паркинга, данни за автомобила, продължителност на паркирането и накрая – което е най-вредно – данни за платежната карта.

След като това бъде изпълнено, уебсайтът ще покаже страница „обработка“, за да симулира легитимно потребителско преживяване. После  плащането се „приема“ и фишинг уебсайтът потвърждава въведените данни, преди да насочи жертвата към истинския уебсайт PayByPhone.

Според изследователите в някои случаи фишинг групата изпраща жертвата на страница за неуспешно плащане, като я пита за алтернативен метод на плащане. Това само задълбочава проблема, като събира повече информация за картите и допълнително увеличава средствата, които участниците в заплахата могат да откраднат.

Избягването на схемите на престъпните групи изглежда трудна задача, когато те се представят толкова добре като легитимна операция. Но изследователите са установили, че има определени маркери, които могат да помогнат на потенциалните жертви да открият измамата. Например 32 имена на домейни с една и съща измама са показали следните характеристики:

  • Регистрирани в NameSilo.
  • Използване на домейни от първо ниво (ДПН) .info, .click, .live, .online и .site, а не .com или общоприети ДПН, специфични за дадена страна.
  • Сайтовете изглежда са защитени от Cloudflare.

Дънкан отбелязва, че няма да е лесно да се защитите от тези заплахи, тъй като те продължават да нарастват и евентуално да се развиват в нови бизнес сектори (например заплахи от quishing, проникващи в ресторанти или магазини за търговия на дребно).

„За бизнеса е доста трудно да се защити от измамни QR кодове, които се поставят върху съществуващите“, казва той. „Също така е по-трудно да се защитят клиентите, използващи мобилни устройства, които може да не разполагат с толкова много вградени мерки за сигурност, колкото при настолните устройства. В този случай може да помогне онлайн платформа за защита на марката с широка информация за заплахите на базата на URL адреси с поддръжка на QR кодове.“

В крайна сметка Дънкан казва, че няма безотказно решение за предотвратяване на тези заплахи, тъй като „както фалшивите, така и легитимните QR кодове често използват съкращения на URL адреси, което ги прави много трудни за различаване.“ Вместо това той препоръчва на потребителите да избягват сканирането на QR кодове, а  да търсят приложения за паркиране в официалните магазини за приложения.

„Има голям потенциал за злоупотреба с QR кодове“, добавя той. „Често сте на мобилно устройство, където контролът може да е по-слаб. Следете това място.“

Източник: DARKReading

Подобни публикации

5 октомври 2024

Сривът на киберфирмата на елита от националнaта...

Сривът на IronNet: Някои твърдят, че фирмата се е сринала отчасти з...
5 октомври 2024

Рансъмуерът удря критичната инфраструктура, а р...

Финансовото въздействие на кибератака, насочена към киберфизична си...
4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
Бъдете социални
Още по темата
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
03/10/2024

Криптопортфейли, насочени ч...

Потребителите на популярни портфейли за криптовалута...
29/09/2024

Приложение за крипто измами...

Изследователи в областта на киберсигурността са...
Последно добавени
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!