QRishing은 해커가 QR 코드를 악용하여 개인 정보를 도용하거나 기기에 악성 소프트웨어를 설치하거나 안전하지 않은 웹사이트로 연결하는 피싱 공격의 한 형태입니다.
이러한 공격은 어떻게 작동합니까?QRishing 공격의 희생자가 되는 것을 어떻게 피할 수 있습니까?
목차
QRishing이란 무엇입니까?
QRishing은 전화 사용자가 호기심, 지루함 또는 필요에 따라 QR 코드를 스캔하는 경향을 이용합니다.
예를 들어, 공격자는 버스 정류장이나 식당이나 커피숍의 테이블에 전단지를 남길 수 있습니다.사람이 광고나 메뉴인 줄 알고 스마트폰으로 QR 코드를 스캔하면 URL, 이미지 또는 위치에 대한 경로가 포함된 지도 등이 표시됩니다.
여기부터 사기꾼은 사회 공학에 의존하여 피해자가 민감한 정보를 공유하도록 속입니다.해커는 브라우저의 WebKit 버그와 같은 취약점을 악용하여 피해자의 기기를 탈취할 수도 있습니다.
QRishing은 어떻게 작동합니까?
물론 모든 사람이 인센티브나 예상되는 내용을 설명하는 캡션 없이 임의의 QR 코드를 스캔하지는 않습니다.따라서 사이버 범죄자들은 사람들의 관심을 끌 수 있는 다른 방법을 찾는 경우가 많습니다.
인기 또는 신뢰할 수 있는 QR 코드 변경
사이버 범죄자는 인기 있는 금융 기관이나 정부 기관의 전단지를 가져갈 수 있습니다.다음으로 그들은 QR 코드를 변경하지만 다른 세부 사항이나 디자인은 유지하고 전단을 온라인으로 공유합니다.사람들이 QR 코드를 보고 스캔할 수 있는 공공 장소에 게시할 수도 있습니다.이 특정 트릭은 2022년 슈퍼볼에서 코인베이스 QR 코드 광고가 입소문을 낸 후 잘 보고되었습니다.
QR 코드로 가짜 전단지 붙여넣기
여기서 사이버 범죄자는 QR 코드를 스캔한 사람들을 공격자가 데이터를 훔칠 수 있는 웹사이트로 안내하는 가짜 전단지를 만들 수 있습니다.이 시도가 실패하더라도 공격자는 여전히 피해자의 브라우저에서 장치 및 위치 데이터를 수집할 수 있습니다.설상가상으로, 결정적인 공격자는 브라우저 지문을 사용하여 온라인에서 피해자를 추적할 수 있습니다.
사기 이메일에 QR 코드 삽입
이 형태의 QRishing은 일반적으로 기존 이메일 피싱 방법의 일부입니다.단축된 하이퍼링크와 달리 QR 코드 위로 마우스를 가져가면 도착 URL이 표시되지 않으므로 예를 들어 사기꾼이 잠재적인 피해자에게 QR 코드를 스캔하여 기프트 카드를 받을 수 있는 기회를 쉽게 알릴 수 있습니다.
QRishing을 피하는 방법
QR 코드를 스캔하고 읽으려면 대부분 두 가지가 필요합니다. 카메라와 QR 코드의 정보를 따라가는 브라우저입니다.너무 간단하기 때문에 희생자가되는 것을 피하는 것도 간단하다는 것을 의미합니다.방법은 다음과 같습니다.
휴대전화에서 카메라 액세스 차단
대부분의 사람들은 중요한 순간을 포착하거나 영상 통화를 할 수 있도록 휴대전화 카메라를 가지고 있습니다.이것은 이해할 수 있습니다.그러나 항상 활성화된 카메라를 사용하면 다시 생각할 필요 없이 QR 코드를 쉽게 스캔할 수 있습니다.
iPhone 카메라를 사용하지 않을 때는 비활성화하는 것이 좋습니다.이를 수행하는 한 가지 빠른 방법은 알림 영역에서 아래로 스와이프하고 카메라 액세스를 차단하는 것입니다.다른 방법은 설정 > 앱 > 권한으로 이동하는 것입니다.그런 다음 카메라를 비활성화하거나 앱을 사용할 때마다 액세스 권한을 요청하도록 설정할 수 있습니다.프로세스는 Android 사용자와 유사합니다.
의심할 여지 없이, 특히 카메라를 많이 사용하는 경우 이러한 라이프스타일의 변화를 느낄 것입니다.그래도 가끔 카메라를 비활성화하고 활성화하는 불편함은 카메라에 액세스하는 QRishing 및 타사 앱에 대한 추가 보안 가치가 있습니다.
소프트웨어를 최신 상태로 유지
해커는 사용자 모르게 앱이나 휴대전화 운영 체제의 소프트웨어 취약점을 악용할 수 있습니다.예를 들어 해커는 브라우저의 WebKit 보안 취약점을 악용하여 휴대폰, 태블릿 또는 스마트워치까지 해킹할 수 있습니다.앱을 자동 업데이트하고 보안 업데이트가 제공되는 즉시 설치하도록 기기를 설정하는 것이 좋습니다.
민감한 정보를 온라인에서 공유하지 마세요
QR 코드를 스캔하면 가상의 상품을 받을 수 있는 기회를 얻기 위해 생체 데이터, 이메일 주소, 계정 비밀번호 또는 카드 세부 정보와 같은 정보를 제공하라는 메시지가 표시되는 웹 페이지 또는 온라인 양식으로 이동할 수 있습니다.
일반적으로 온라인에서 개인 데이터를 공유하지 마십시오.귀하의 계정이 해킹되거나 돈이 도난당할 위험 외에도 사이버 범죄자는 귀하가 공유한 세부 정보를 사용하여 귀하의 신원을 도용할 수도 있습니다.
스캔하기 전에 생각하십시오
제공되는 모든 QR 코드를 스캔할 필요는 없습니다.회의적인 태도를 유지하고 불필요하게 스캔하지 마십시오.대부분의 경우 회사의 웹사이트나 메뉴를 온라인에서 먼저 검색하면 확인할 수 있습니다.
QRishing: 덜 일반적이지만 앞서 나가십시오
QRishing은 공격자가 악성 QR 코드를 배포하는 데 약간의 노력을 투자해야 하기 때문에 다른 유형의 피싱보다 덜 일반적입니다.그러나 이러한 형태의 피싱은 비교적 새로운 형태의 피싱이며 이에 대해 아는 사람이 많지 않기 때문에 사람들이 쉽게 피싱에 빠질 수 있습니다.이러한 공격을 수행하는 사이버 범죄자는 얻을 것은 모두 있고 잃을 것은 없습니다.