ה"צעצוע" החדש של ההאקרים: הונאות מבוססות ברקוד

עידן הקורונה הביא לדיגיטליזציה של תהליכים רבים, וגרם לזינוק בשימוש בטכנולוגיות המאפשרות העברת מידע, נתונים, או תשלומים – בלא מגע יד אדם. אחת מאותן טכנולוגיות עושה שימוש בסריקת קודי QR באמצעות הטלפון החכם.

העיתון וול סטריט ז'ורנל פרסם באחרונה תחקיר, שעולה ממנו, כי לא רק עסקים ולקוחות נהנים מהשימוש בסריקת קודי QR – אלא גם עברייני סייבר גילו את השימוש בקודים אלו על מנת לבצע הונאות מתוחכמות כנגד משתמשים תמימים. העיתון דיווח על עשרות מקרי הונאה שכאלה, שבוצעו בשנתיים האחרונות בארצות הברית. בנוסף, בינואר השנה פרסם ה-FBI אזהרה מיוחדת מפני שימוש של עברייני סייבר בקודי QR בהונאות באמצעות הפניית המשתמשים לאתרים זדוניים – על פי רוב על מנת לבצע גניבה של פרטי אמצעי תשלום.

ייחודיות ההונאה באמצעות טכניקה זו היא בריבוי האפשרויות הטמונות בה: השימושים מגוונים, וכוללים, בין השאר: קבלת מידע על מוצרים, רישום למועדון לקוחות או ניוזלטר, ביצוע תשלומים, קבלת קופון הטבה ועוד. הימצאות של מיליארדי טלפונים  חכמים, הכוללים קוראי QR מובנים, הזניקה את השימוש בקודי QR במאות אחוזים בהשוואה לתקופה שטרום הקורונה.

אחד המקרים שדווח עליהם בארה"ב הוא "הונאת מדחנים". המקרה אירע בדצמבר האחרון בכמה מהערים הגדולות של מדינת טקסס, כשעברייני הסייבר הדביקו סטיקרים עם קודי QR זדוניים על גבי מדחנים. אלו נועדו להטעות נהגים ולגרום להם לחשוב שמדובר בדרך נוספת לתשלום עבור החנייה. כך, הם הניעו את הקורבנות לסרוק את הברקוד ולהזין בו את פרטי התשלום. בפועל, הברקוד הוביל לאתר זדוני שהקימו עברייני הסייבר, שנועד לקלוט את פרטי התשלום של המשתמשים התמימים.

לדברי לימור גרוסמן, מומחית סייבר וסמנכ"לית השיווק בסלסטיה (Celestya), "מדובר בעוד וקטור תקיפה מהזן של 'הנדסה חברתית', שכן הוא מתבסס על הטעיית משתמשים על מנת ליצור מצג שווא, שישכנע אותם לספק מידע רגיש – כמו שמות משתמשים וסיסמאות, או פרטים של אמצעי תשלום. מהבחינה הזו מדובר על ענף נוסף ומתקדם של מתקפות הפישינג, שמחייב היכרות איתו כדי להימנע מסכנותיו".

הדרך להימנע מסוג זה של הונאה, אמרה גרוסמן, "היא לבחון את כתובת האתר שאליו הברקוד מפנה את המשתמש ולבדוק שמדובר בכתובת אתר מוכרת ולגיטימית. במקרה של 'הונאת המדחנים', הברקוד הפנה אל אתר זדוני בכתובת passportlab.xyz – זו כתובת לא ברורה, שבטח אינה בשימוש של עירייה או כל גורם ציבורי אחר".

לדבריה, "הונאה זו דומה במידה מסוימת להונאות מסוג סמישינג (פישינג במסרונים) שבהן נעשה שימוש בכתובת אתר מקוצרת(Short URL) . בשני המקרים לא ניתן לאמת את מהימנות המקור השולח, ובשניהם לא ניתן לדעת מה היא הכתובת האמיתית שאליה נגיע, אלא לאחר לחיצה או סריקה. לכן, הקושי בזיהוי ההתחזות גבוה משמעותית ביחס לפישינג בדוא"ל. יש לקחת בחשבון שלעתים, סריקת הקוד עצמה תוביל להורדת נוזקה לטלפון החכם".

"טרם נתקלנו בסוג זה של הונאה בארץ", הוסיפה גרוסמן, "אך אסור להירדם בשמירה, שכן סוגי הונאות סייבר שתחילתן בחו"ל סופן גם להגיע לארץ. זה ודאי נכון כאשר אנו מוקפים גם בארץ באינסוף קודי QR. זה מחייב היכרות של הנושא על ידי הציבור, אך גם מחייב היכרות עם סוג זה של הונאת סייבר אצל מנהלי הגנת הסייבר הארגוניים. הונאה מסוג זה רלוונטית גם לארגונים ולא רק לאנשים פרטיים. הדבר מחייב היערכות לסוג זה של תקיפות פישינג כחלק משגרת התרגולים והאימונים שמבצעים גופי הגנת הסייבר לעובדים בארגון".