Quishing

Quishing és un mètode de frau en línia (una forma de pesca d'informació^[1]), que consisteix a proporcionar a la víctima un codi QR especialment dissenyat per escanejar dispositius a la recerca d'informació.^[2]

Preparació de l'atac

Un codi QR destruït en un espai públic

Els estafadors poden trobar la víctima mitjançant missatgeria instantània o xarxes socials i enviar-li un codi QR elaborat a través d'ells,^[3] o també és possible proporcionar el codi QR d'una altra manera, per exemple en un fulletó repartit al carrer o col·locar el codi en un lloc públic.^[1] L'any 2023, per exemple, uns estafadors van ser atrapats posant codis QR falsos als parquímetres a Cracòvia i que utilitzaven aquest mètode d'estafa.^[4]

Per animar encara més la víctima a escanejar el codi, s'utilitzen diverses tècniques de manipulació, per exemple: es descriu que condueix a rebre un premi o a fer un pagament mòbil.^[2] prometent estalviar temps i facilitar la vida, o bé difon una promoció per temps limitat.^[1]

Mètodes de quishing

Quan la víctima escaneja el codi QR proporcionat pel pirata informàtic, se'l redirigeix a l'adreça que aquest ha preparat, per exemple:

• de manera similar als atacs de pesca tradicionals - un lloc web que s'assembla molt al lloc web d'un banc o d'una altra institució fiable, que requereix inici de sessió - després de proporcionar les dades d'inici de sessió, són interceptats per l'atacant^[1]
• llocs web que permeten el pagament - presumptament desitjat per l'usuari (per exemple, tarifa d'aparcament)
• llocs de descàrrega de programari maliciós^[2]
• enllaç d'autenticació per iniciar sessió al dispositiu del defraudador al compte d'usuari d'una aplicació determinada. S'ha descrit l'accés a l'aplicació de missatges de Google d'aquesta manera: aquesta acció permet al defraudador llegir els missatges SMS de la víctima, accedir a la llista de contactes des del dispositiu i enviar missatges SMS en nom de la víctima (també per càrrecs addicionals)^[3]

Prevenció i defensa dels atacs de quishing

L'escaneig d'un codi QR amb certes aplicacions pot informar a quina URL porta el codi escanejat

Els principals mètodes de protecció contra els atacs de quishing inclouen:

• verificar la credibilitat del codi QR i la descripció associada (per exemple en un pòster o fulletó),
• verificant l'autenticitat de la pàgina que heu trobat després d'escanejar el codi^[2]
• tenint especial cura quan es tracten els codis QR amb un missatge que desperta emocions particulars adjuntats a ells
• desactivant les aplicacions no fiables per accedir a la càmera del dispositiu mòbil (per evitar l'escaneig de codi no intencionat)
• utilitzant només aplicacions oficials de pagament en llocs públics^[1]

Es recomana que en cas de ser víctima d'un frau similar s'ha de denunciar a la policia.^[5]

Notes a peu de pàgina

1. «Otwierasz kody QR z nieznanego źródła? Takie zachowanie może Cię drogo kosztować!» (en polonès), 10-10-2023. [Consulta: 10 abril 2024].
2. «Quishing - oszustwo z wykorzystaniem kodów QR - Baza wiedzy - Portal Gov.pl» (en polonès). [Consulta: 10 abril 2024].
3. «Oszustwa z wykorzystaniem kodów QR» (en polonès). [Consulta: 10 abril 2024].
4. «Oszustwa z wykorzystaniem kodów QR» (en polonès). [Consulta: 10 abril 2024].
5. «Pesca de credencials (phishing): missatges que es fan passar per entitats bancàries». [Consulta: 10 abril 2024].