Giderek daha popüler hale gelen bir saldırı yöntemi olarak, iki tehdit grubunun kullandığı belirlendi QR kodu İngiltere’de ve dünyada park dolandırıcılıkları.
The Netcraft’taki araştırmacılar gruplardan birinin Avrupa genelinde, özellikle Fransa, Almanya, İtalya, İsviçre ve Birleşik Krallık’ta aktif olduğuna inanıyor. Tehdit hakkındaki ilk raporlara göre, tehdit aktörleri şüphelenmeyen kurbanları kötü amaçlı QR kodlarını taramaya ve kişisel bilgilerini girmeye kandırıyor. Ve zarar bununla bitmiyor — nihayetinde, QR kodları sahte olduğu için, kullanıcılar arabalarını park için kaydetmiyor, bu da muhtemelen çifte bir darbeyle karşılaşacakları anlamına geliyor: potansiyel mali dolandırıcılık ve park cezası.
Tehdit ilk olarak Ağustos ayında İngiliz otomobil sigortacısı RAK sürücülere dikkatli olmaları ve yalnızca kart, nakit veya telefonlarına önceden yüklenmiş resmi park uygulamalarıyla ödeme yapmaları konusunda uyarıda bulunan bir uyarı yayınladı. Bugün yayımlanan raporlarına göre, yalnızca iki aylık bir zaman diliminde şu ana kadarki potansiyel kurban sayısı yaklaşık 10.000.
Dolandırıcılıklar o kadar fazla ilgi görüyor ki Avrupa’nın ötesine, Kanada ve Amerika Birleşik Devletleri’ne kadar uzanıyor ve FBI’ın alarm numarası vermesine neden oluyor I-011822-PSA“Siber Suçlular Mağdurların Paralarını Çalmak İçin QR Kodlarıyla Oynadı” giderek büyüyeceğinden şüphelendikleri bir soruna dikkat çekmek için.
Park Yasağı Bölgesi
Birleşik Krallık’ta, araştırmacıların “Londra şehir merkezinde beliren kötü amaçlı QR kodları dalgası” olarak adlandırdığı şeyle başladı. Sahte QR kodları yapışkan etiketlere basılmış ve parkmetrelere asılmış halde bulunurdu. QR kodunu taradıktan sonra, kurban olan kullanıcı meşru bir park ödeme uygulaması olan PayByPhone’u taklit eden bir kimlik avı web sitesine yönlendirilirdi.
Dolandırıcılık faaliyetleri Britanya geneline yayıldı ve Haziran ile Eylül ayları arasında zirveye ulaştı. Tehdit grupları Blackpool, Brighton, Portsmouth, Southampton, Conwy ve Aberdeen gibi bölgelerdeki turistleri hedefliyordu veya bu bölgelerdeki turistlere ilgi gösteriyordu.
İngiltere’de şu anda yaklaşık 30 park uygulaması kullanılıyor ve bu suçluların, kolay ve erişilebilir ödeme seçenekleriyle halka açık otoparklara erişmesi gereken turistleri avlayarak başarıya ulaşması muhtemel.
Mevcut araştırma bu planların özellikle park etme ve turistleri nasıl etkilediğine odaklansa da, Netcraft’ta ürün stratejisi başkan yardımcısı olan Robert Duncan, Dark Reading’e tehditlerin iş bağlamında risk taşıdığını ve kurumsal alanda bir dizi artışa işaret ettiğini vurguluyor. Microsoft 365 “iptal ediliyor” Kurumsal kullanıcıların kendi cihazlarını kullanarak onları kurumun güvenlik çevresinden dışlayıp, olası tehditlere açık hale getiren girişimler.
Quish ile Ödeme?
Bu yöntemleri kullanan suç örgütlerinden biri, özellikle PayByPhone gibi davranarak dolandırıcılıklarını gerçekleştirmek için bir dizi adım izliyor.
Duncan, tehdit aktörü ilk olarak saldırıyı kurmak ve QR kodlarını park ödeme makinelerine yapıştırmak için “yerdeki kaynakları konuşlandırıyor” diye açıklıyor. Daha sonra, kurbanlar kötü amaçlı, sahte QR kodunu tarıyor ve farkında olmadan bir kimlik avı web sitesine yönlendiriliyor. Kurban daha sonra kişisel bilgilerini girmek için adımları izliyor: otopark konum kodu, araç bilgileri, park süresi ve son olarak – ve en zararlısı – ödeme kartı bilgileri.
Bu tamamlandığında, web sitesi meşru kullanıcı deneyimini simüle etmek için bir “işleme” sayfası görüntüler. Ödeme daha sonra “kabul edilir” ve kimlik avı web sitesi, kurbanı gerçek PayByPhone web sitesine yönlendirmeden önce girilen bilgileri onaylar.
Araştırmacılara göre, bazı durumlarda kimlik avı grubu kurbanı başarısız bir ödeme sayfasına gönderiyor ve onlardan alternatif bir ödeme yöntemi istiyor. Bu, daha fazla kart bilgisi toplayarak ve tehdit aktörlerinin çalabileceği fonlara daha fazla ekleyerek sorunu daha da kötüleştiriyor.
Suç örgütlerinin planlarından kaçınmak, meşru bir operasyon olarak kendini bu kadar iyi sunduğunda zor bir görev gibi görünüyor. Ancak araştırmacılar, potansiyel kurbanların bir dolandırıcılığı tespit etmesine yardımcı olabilecek belirli belirteçler olduğunu buldular. Örneğin, aynı dolandırıcılığa sahip 32 alan adı aşağıdaki özellikleri gösteriyordu:
-
NameSilo’ya kayıtlı.
-
.com veya ülkeye özgü yaygın TLD’ler yerine .info, .click, .live, .online ve .site üst düzey alan adlarını (TLD’ler) kullanmak.
-
Sitelerin Cloudflare tarafından korunduğu görüldü.
İşletmeler Quish Hook’tan Nasıl Kaçınabilir?
Bu tür tehditler büyümeye devam ettikçe ve muhtemelen yeni iş sektörlerine (örneğin, tehditleri bastırmak (restoranlara veya perakende mağazalarına sızmak gibi) buna karşı savunmanın kolay olmayacağını belirtiyor Duncan.
“İşletmelerin mevcut QR kodlarının üzerine sahte QR kodların yerleştirilmesine karşı savunma yapması oldukça zordur,” diyor. “Ayrıca masaüstü cihazlardaki kadar çok yerleşik güvenlik önlemi olmayabilecek mobil cihazları kullanan müşterileri korumak da daha zordur. Bu durumda, QR kod desteğiyle geniş URL tabanlı tehdit istihbaratına sahip çevrimiçi bir marka koruma platformu yardımcı olabilir.”
Duncan, sonuç olarak bu tehditleri önlemenin kesin bir çözümü olmadığını, “hem sahte hem de meşru QR kodlarının genellikle URL kısaltıcıları kullandığını ve bu nedenle bunları birbirinden ayırmanın çok zor olduğunu” söylüyor. Bunun yerine, kullanıcıların QR kodlarını taramaktan kaçınmalarını ve bunun yerine resmi uygulama mağazalarında park uygulamalarına bakmalarını öneriyor.
“QR kodunun kötüye kullanılması için çok fazla potansiyel var,” diye ekliyor. “Genellikle kontrollerin daha zayıf olabileceği bir mobil cihazdasınız. Bu alanı izleyin.”