Ar nerimaujate, kad nuskenavus paprastą QR kodą gali būti pažeisti jūsų finansiniai duomenys? Kadangi šie mokėjimai tampa pasauliniu standartu, sukčiai naudoja suklastotus kodus, kad nukreiptų lėšas ir pavogtų tapatybes. Šis vadovas nagrinėja dažnas grėsmes ir pateikia praktinius žingsnius įmonėms ir vartotojams, kaip apsaugoti kiekvieną operaciją.
Dažnos rizikos ir sukčiavimo taktikos
Nors QR kodai iš esmės yra vizualinės nuorodos, jų „aklas“ pobūdis daro juos pagrindine kibernetinių nusikaltėlių priemone, nes paskirties vieta yra paslėpta, kol nuskaitymas nebaigtas. Viena iš labiausiai paplitusių grėsmių yra „quishing“ arba QR sukčiavimas, kai užpuolikai įterpia kenkėjiškas URL nuorodas į kodus, siunčiamus el. paštu arba skelbiamus viešose vietose. Šios nuorodos dažnai veda į suklastotas svetaines, skirtas surinkti jūsų banko prisijungimo duomenis ar asmeninę informaciją.
Fizinis klastojimas yra dar viena didelė rizika, ypač didelio srauto mažmeninės prekybos aplinkoje. Sukčiai gali užklijuoti kenkėjiškus lipdukus ant teisėtų QR kodų ant parkomatų, restoranų stalų ar degalinių, kad nukreiptų mokėjimus į savo sąskaitas. Be to, netikri mokėjimo puslapiai gali imituoti patikimus teikėjus, tokius kaip “PayPal” ar „Venmo“, kad surinktų „autorizuotus“ mokėjimus už paslaugas, kurios niekada nėra suteikiamos. Ekstremalesniais atvejais pažeistas nuskaitymas gali sukelti tylų kenkėjiškos programinės įrangos atsisiuntimą, kuri pavogia sesijos duomenis ir lemia visišką paskyros perėmimą.
QR sukčiavimo poveikis JAV.
Šių grėsmių mastas sparčiai auga kartu su bekontakčių technologijų diegimu. Tyrimai rodo, kad beveik 21% visų nuskaitytų QR kodų yra kenkėjiški, o „quishing“ sudarė 51% visų sukčiavimo atakų 2023 m. Kadangi QR nuskaitymų skaičius per pastaruosius ketverius metus išaugo 433%, potencialių taikinių ratas yra didesnis nei bet kada anksčiau. Nepaisant to, maždaug 34% vartotojų vis dar nesijaudina dėl šios rizikos, o 60% nežino apie pavojus, susijusius su nežinomų kodų nuskaitymu.
Finansinės pasekmės įmonėms yra vienodai stulbinančios. Duomenų pažeidimai gali sukelti milijonų dolerių nuostolius, o sukčiavimo incidentai vidutiniškai kainuoja 1 500 USD vienam darbuotojui. Mažos įmonės ir paslaugų sektoriai dažnai nukenčia labiausiai, nes joms gali trūkti tvirtos kibernetinio saugumo infrastruktūros, kurią turi didesnės korporacijos. Dėl to tiek asmenims, tiek organizacijoms būtina suprasti, kaip patikrinti skaitmenines paskirties vietas, su kuriomis jie susiduria.
Esminiai saugumo žingsniai vartotojams
Apsauga prasideda nuo “nuskaitymo-antrosios” mąsenos. Prieš atidarydami kamerą, fiziškai apžiūrėkite kodą. Ieškokite klastojimo požymių, tokių kaip pakilę kraštai, besilupantys lipdukai arba neryškus ar prastai suderintas QR kodas, palyginti su fono tekstu. Turėtumėte vengti nuskaityti nepageidaujamus kodus, rastus ant pakuočių arba atsiųstus netikėtomis tekstinėmis žinutėmis, nes tai yra įprasti pristatymo būdai siuntų sukčiavimas.
Nuskaitymo metu geriausia naudoti saugų QR kodo skaitytuvą kuris siūlo URL peržiūrą. Tai leidžia jums patikrinti, ar paskirties vieta naudoja HTTPS ir ar domeno pavadinimas yra parašytas teisingai, prieš apsilankant svetainėje. Turėtumėte nedelsiant atmesti bet kokius raginimus, reikalaujančius skubių mokėjimų ar jautrių prisijungimo duomenų, kad “atrakintumėte” paslaugą. Po operacijos patartina stebėti savo sąskaitas dėl neautorizuotų mokesčių ir užtikrinti, kad mobiliosios piniginės saugumas funkcijos, tokios kaip daugiafaktorinis autentifikavimas, yra aktyvios.
Kaip įmonės gali apsaugoti mokėjimo srautus
Prekybininkams pasirinkimas tarp statinės ir dinaminės technologijos yra pirmoji gynybos linija. Statiniai kodai įterpia informaciją tiesiai į šabloną ir negali būti pakeisti atspausdinus. Priešingai, dinaminiai QR kodai naudoti nukreipimo nuorodą, kuri suteikia sluoksnį saugumo ir greičio leidžiant atnaujinti paskirties URL arba visiškai išjungti kodą, jei aptinkate įtartiną veiklą.
Apsaugokite savo verslą šiandien. Naudokite profesionalą QR kodo generatorių kurti dinaminius kodus, kuriuos galima stebėti, redaguoti arba akimirksniu deaktyvuoti, jei įtariamas sukčiavimas.
Be tinkamo kodo tipo pasirinkimo, įmonės turėtų sutelkti dėmesį į šias kontrolės priemones:
- Suasmeninkite savo kodus įtraukdami prekės ženklą pvz., logotipus ir spalvas, todėl sukčiams daug sunkiau juos padirbti naudojant bendrus nespalvotus perdangas.
- Apsaugokite jautrius duomenis užtikrindami, kad visa perduodama informacija būtų apsaugota per šifravimą, kuris užšifruoja duomenis į formatus, neįskaitomus be konkretaus rakto.
- Kasdien atlikite fizinių iškabų auditus, kad patikrintumėte, ar nėra lipdukų, ir užtikrintumėte, kad visi kodai būtų patalpinti stebimose, gerai apšviestose vietose.
- Laikykitės PCI-DSS atitikties vadovo apsaugoti kortelės turėtojo duomenis per visą operacijos gyvavimo ciklą.
Reagavimas į incidentus: ką daryti, jei pažeista sistema
Jei įtariate, kad nuskenavote kenkėjišką kodą arba kad jūsų verslo kodai buvo suklastoti, greitis yra svarbiausias veiksnys, ribojantis žalą. Vartotojai turėtų nedelsdami susisiekti su savo finansų įstaigomis, kad užblokuotų savo korteles ir pakeistų slaptažodžius visoms paskyroms, pasiektoms per įtartiną nuskaitymą. Taip pat naudinga atlikti kenkėjiškų programų nuskaitymą savo mobiliajame įrenginyje, siekiant užtikrinti, kad nebūtų įdiegti jokie kenkėjiški konfigūracijos profiliai.
Įmonės turi nustatyti, kurie konkretūs kodai buvo paveikti, ir pakeisti juos saugiais, nuorodomis pagrįstais QR kodais. Kai grėsmė neutralizuojama, labai svarbu pranešti visiems potencialiai paveiktiems klientams, siekiant išlaikyti skaidrumą ir pasitikėjimą. Pranešimas apie sukčiavimą tokioms agentūroms kaip FTB internetinių nusikaltimų skundų centras (IC3) arba FTC padeda valdžios institucijoms stebėti šias tendencijas ir apsaugoti kitus vartotojus nuo panašių sukčiavimo schemų aukų.
Norint išlikti priekyje sukčiavimo, reikia derinti modernias technines apsaugos priemones su žmogaus budrumu. Pasirinkę dinaminius, firminius kodus ir patikrinę kiekvieną URL prieš su juo sąveikaudami, galite mėgautis bekontakčių technologijų patogumu be nereikalingos rizikos. Norėdami pradėti kurti saugesnę mokėjimo patirtį, išbandykite mūsų saugių įrankių rinkinį ir valdykite savo skaitmeninius sąlyčio taškus.
DUK
Taip, QR kodas gali nukreipti jūsų mobiliojo telefono naršyklę į svetainę, kuri sukelia automatinį “drive-by” atsisiuntimą. Šios svetainės taip pat gali paraginti jus įdiegti kenkėjiškus konfigūracijos profilius, kurie suteikia atakos vykdytojams prieigą prie jūsų įrenginio sesijos duomenų ir asmeninių failų.
Ieškokite “lipduko ant lipduko” ženklų, kai apgaulingas kodas buvo uždėtas ant teisėto. Jei kodas atrodo iškilęs, šiek tiek kreivas arba turi kitokius kraštus nei likusi iškaba, tai greičiausiai yra kenkėjiškas perdengimas.
Dinaminiai QR kodai leidžia stebėti ir analizuoti realiuoju laiku. Jei įmonė pastebi nuskaitymus iš netikėtų geografinių vietovių arba neįprastu laiku, ji gali nedelsdama išjungti arba atnaujinti paskirties nuorodą, nereikalaujant perspausdinti fizinių medžiagų.
