Quishing on phishing-hyökkäys, jossa QR-koodeja käytetään huijaamaan ihmisiä vierailemaan haitallisilla verkkosivustoilla tai lataamaan haittaohjelmia. Verkkorikolliset käyttävät hyväkseen QR-koodien monipuolisuutta, sillä ne voivat sisältää linkkejä, asiakirjoja tai maksuportaaleja, huijatakseen ihmisiä.
Covid-19-pandemian aikana pieni, mustavalkoinen neliö asettui tiukasti rokoteselfieiden ja ulkonaliikkumiskieltojen väliin: QR-koodi. Vielä vähän aiemmin sitä oli pidetty kuolleena ja tuskin kannatti tarttua älypuhelimeen, mutta nyt siitä tuli nopeasti eräänlainen monikäyttöinen työkalu. Pikatestit, varoitussovellukset, rokotustodistukset, junaliput, kontaktivapaat maksut... tai lyhyesti sanottuna: portti normaaliin elämään. On tunnettu tosiasia, että valoa ei ole ilman varjoa. Niinpä tämän huomaamattoman pienen laatikon sisältämä vaaran mahdollisuus on pelottava.
Quishing: QR-koodin traaginen paluu markkinoille
QR on lyhenne sanoista "quick response code". Kaksiulotteinen viivakoodi on luonnollinen ja orgaaninen seuraus halustamme päästä käsiksi kaikkeen mahdollisimman nopeasti ja helposti - kaikki on vain yhden skannauksen päässä. Se mahdollistaa suurten tietomäärien välittömän siirtämisen. Sekä sen helppokäyttöisyys että pandemia toimivat katalysaattoreina uudenlaiselle phishing-hyökkäykselle: niin sanotulle quishingille, joka on termi, jossa yhdistyvät "QR" ja "phishing".
Perinteisissä phishing-hyökkäyksissä verkkorikolliset käyttävät epäilyttäviä sähköpostiviestejä, pikaviestejä tai verkkosivustoja salasanojen ja muiden henkilökohtaisten tietojen kalasteluun.
Quishing-hyökkäyksissä rikolliset hyödyntävät QR-koodien edellä mainittuja ominaisuuksia piilottaakseen harhaanjohtavaa tietoa mustavalkoisten ruutujen taakse. Quishing-sähköpostit on yleensä suunniteltu erittäin huolellisesti - voisi jopa sanoa, että rakastavasti. Ne on tehty näyttämään aidoilta. Ilmeisesti verkkorikollisten keskuudessa ei ole enää muodissa yrittää kosiskella potentiaalisia uhreja uutisilla miljoonien dollarien perinnöstä. Vaikka osa mahdollisista vastaanottajista varmasti nauttisi mielikuvitusmatkasta unelmiensa kesäasuntoon Saint-Tropez'iin, varsinkin pimeinä talvikuukausina.
Nykypäivän verkkorikolliset suosivat hienovaraista lähestymistapaa. He kohdistavat hyökkäyksensä ihmismielen heikkouksiin. Sietämättömän kidutuksen tunne, kun joudut käsittelemään hankalia menettelyjä. Niinpä he uhkaavat sulkea pankkitilin tai suosikkiverkkokaupan käyttäjätilin.
Kosketukseton käsitys ja sen jälkeinen putoaminen
Perinteiset turvamekanismit tarkastavat vain tavalliset liitetiedostot ja URL-osoitteet. Nämä toimenpiteet epäonnistuvat kuitenkin yleensä QR-koodien kohdalla. Suosituimpia järjestelmiä ovat pyynnöt hyväksyä päivitetty tietopolitiikka tai kehotukset ottaa käyttöön uusi turvallisuusmenettely. Ja tämä kaikki voidaan tietysti tehdä yksinkertaisesti ja mukavasti skannaamalla QR-koodi. Rikollisten työkalupakissa on jopa tärkeitä asiakirjoja, jotka voi ladata vaivattomasti QR-koodin avulla.
On ymmärrettävää, että vastaanottajat haluavat päästä eroon tästä epämiellyttävästä tunteiden sekoituksesta mahdollisimman nopeasti: vaikutelma siitä, että heidät pakotetaan toimimaan, yhdistettynä haluun kääntyä nautinnollisempiin asioihin juuri nyt. Mutta kukapa ei haluaisi nauttia tuottavuuden tunteesta sen jälkeen, kun on hoitanut sen ärsyttävän pankkiasian? Koodin skannaaminen on vain sekuntien kysymys - usein katastrofaalisin seurauksin. Toisin kuin Pyhän Marian tapauksessa, tämä kosketusvapaa sikiäminen voi muuttua synniksi.
Tietoja vaanivat muraalit
Ne, jotka suostuvat harhaanjohtaviin pyyntöihin, löytävät itsensä väärennetyiltä verkkosivustoilta, jotka on laadittu huolella ja yksityiskohtaisesti. Loppujen lopuksi otsikon on oltava täsmälleen samansävyinen kuin Volksbankin logo, joka on varastettu alkuperäiseltä verkkosivustolta. Haitallisten linkkien häivyttämiseksi ja varoitusviestien ohittamiseksi käytetään erilaisia tekniikoita. Yleinen menetelmä on WordPressin kaltaisten sisällönhallintajärjestelmien ja niiden lisäosien väärinkäyttö. Väärennettyjen laskeutumissivujen taakse piilotettuna ne houkuttelevat potentiaalisia uhreja ansaan. On myös raportoitu, että verkkorikolliset ovat käyttäneet Googlen feed-välityspalvelinta "FeedBurner" uudelleenohjaustarkoituksiin. Toinen yleinen käytäntö on mukautetun verkkotunnuksen käyttäminen uudelleenohjausprosessissa sekä itse phishing-sivustolla. Vaara uhkaa - vaikka haittaohjelmien suojausjärjestelmät eivät hälyttäisikään.
Kun täydellinen harha on luotu, verkkorikolliset haluavat vain yhtä asiaa: henkilötietoja. Kuin muraali, joka vaanii luolassaan ja odottaa pääsevänsä käsiksi käyttäjätunnuksiin ja salasanoihin. Liian moni vastaanottaja unohtaa kaikki varotoimet, kun työpäivä on päättymässä ja auringonlasku kutsuu terassilta. Heiltä jää huomaamatta lisäkirjain URL-osoitteessa, ja vain sekunteja myöhemmin heidän tietonsa on syötetty petollisen realistiselta näyttävään rekisteröintikäyttöliittymään. Sparkassen asiakkaisiin kohdistuvat phishing-URL-osoitteet alkavat usein kirjaimella "spk-", kun taas "vr-" on yleinen etuliite väärennetyille Volksbank-sivustoille.
Työympäristöissä on erityinen riski, kun yksityiset älypuhelimet ohittavat yrityksen sisäiset turvamekanismit. Quishing soveltuu tähän tarkoitukseen erinomaisesti. Kun vaarallinen koodi on skannattu, haitallinen sisältö tunkeutuu salaa mobiililaitteeseen. Sieltä se pääsee nopeasti sähköpostilaatikoihin, yhteystietoihin tai asiakirjoihin, joita hallinnoidaan pilviratkaisujen kautta. Täydellinen yhdyskäytävä. Jos tällainen hyökkäys tapahtuu ja vaikuttaa kriittisiin tietoihin, tuli leviää todennäköisesti ja tartuttaa yrityksen resursseja. Eräs viime aikoina erityistä huomiota herättänyt haittaohjelmatyyppi on ransomware. Sen uhkapotentiaali on valtava. Pahaenteinen imperatiivi, ja BSI:n (Saksan liittovaltion tietoturvavirasto) mukaan sen kyky aiheuttaa vahinkoa moninkertaistuu, kun se vaikuttaa yritysverkkoihin.
Volksbank & Sparkassen sähköpostiviestien kalastelu
Digitaalinen Reginheri
Kiristysohjelmien tarkoituksena on salata käyttäjän tiedot. Kun tämä prosessi on saatu päätökseen, uhri joutuu maksamaan lunnaita. Tartunnan saaneiden yritysten määrä on järkyttävän suuri. Niiden tietotekniikka- ja liiketoimintaprosessit häiriintyvät. Lisäksi rikolliset uhkaavat usein luovuttaa tai myydä tiedot. Heidän kohteinaan ovat kaikenmuotoiset ja -kokoiset yritykset. Hiscoxin vuonna 2022 julkaiseman Cyber Readiness Report -raportin mukaan 48 prosenttia saksalaisista yrityksistä maksaa lunnaita tällaisen hyökkäyksen jälkeen. Kiristetty summa on usein kuusinumeroinen euromäärä. BSI:n mukaan joissakin tapauksissa on kuitenkin vaadittu kahdeksannumeroisia summia.
Monet uhrit ovat järkyttyneitä huomatessaan, että rikolliset jatkavat vaatimuksia myös sen jälkeen, kun he ovat maksaneet. Voisi ajatella, että rikolliset olisivat voineet nousta esiin jostain kohtalaisen jännittävästä historiadokumentista. Nämä skenaariot muistuttavat vuotta 845, jolloin viikinkijohtaja Reginheri piiritti Pariisin. Länsi-Frankian kuningas Kaarle Kalju päätti, että vastarinta oli turhaa, ja maksoi tanskalaisjoukkojen vetäytymisestä 7 000 puntaa hopeaa. Samoin kuin heidän kollegansa kyberissä 1 200 vuotta myöhemmin, norjalaiset ja kilpiherrat eivät kyenneet vastustamaan kiusausta kiristää lisämaksuja. Niinpä he jatkoivat hyökkäyksiään.
Nykyaikaisilla rikollisilla ei ehkä ole punottuja parroja tai taistelukirveitä olkapäillään, mutta he ovat tosissaan vaatimuksissaan, vaikka lunnaat olisi jo maksettu. Antautuvatpa kiristysyritykset tai eivät, seuraukset ovat yleensä vakavia yksityishenkilöille, yrityksille ja julkisille laitoksille. Kiristäminen voi aiheuttaa valtavia vahinkoja: tietojen ja maineen menetys, GDPR:n rikkomiset tai taloudelliset tappiot, vain muutamia esimerkkejä mainitakseni.
Miten voin suojata itseni kalastelulta?
Kysymyksellä ei ehkä ole samanlaista elokuvallista potentiaalia kuin viikinkihyökkäyksillä, mutta se sisältää yhtä paljon jännitystä: miten voit suojautua quishingiltä?
"Jos olet epävarma, älä skannaa mitään QR-koodeja" - tämä on melko ilmeinen, mutta kuitenkin pätevä vastaus. Ongelmia syntyy kuitenkin usein tapauksissa, joissa ei näytä olevan mitään epäilyksiä. Tietoverkkorikolliset ovat taitavia hyödyntämään syvään juurtuneita inhimillisiä taipumuksia ja tarpeita manipuloidakseen yksilöitä - niin sanottua social engineeringiä. Tarvitaan vain ripaus tietämättömyyttä, jotta katastrofin cocktail on valmis. Tämä tekee itsesuojelusta niin vaikeaa. On kuitenkin olemassa muutamia yksinkertaisia sääntöjä, joiden avulla riski voidaan minimoida:
- Käsittele QR-koodeja kuin linkkejä. Olipa niitä sitten sissikampanjajulisteissa, asiakirjoissa tai sähköposteissa, QR-koodit ovat pohjimmiltaan linkkejä, ja niihin liittyy samat riskit.
- Älä anna arkaluonteisia tietoja. Hyvämaineiset palveluntarjoajat eivät koskaan lähetä sähköpostia, jossa sinua pyydetään antamaan luottamuksellisia kirjautumistietoja.
- Tarkista aina sähköpostiosoite tai selaimen osoiteriviltä, jos olet jo menossa epäilyttävälle verkkosivulle.
- Tarkista sähköpostit ja verkkosivustojen sisältö huolellisesti. Huvittavat kirjoitusvirheet eivät enää ole verkkorikollisuuden erityispiirre. Useimmat tekstit ovat hyvin muotoiltuja. Silti BSI mainitsee useita piirteitä, joiden pitäisi herättää epäilyksiä, vaikka vain yksi niistä soveltuisi:
- Kiireellinen toiminnan tarve
- Uhkaukset vakavista seurauksista, jos sääntöjä ei noudateta.
- Pyyntö syöttää arkaluonteisia tietoja
- Sähköposti sisältää linkkejä, QR-koodeja tai lomakkeita
- Tunnetun henkilön tai organisaation epätavalliset pyynnöt
- Jos olet epävarma, tarkista asia kyseisen palveluntarjoajan virallisen viestintäkanavan kautta .
- Älä koskaan lataa tai avaa tiedostoja sähköpostin liitetiedostoista tai verkkosivustoilta, ellet ole täysin varma, että ne ovat aitoja.
Käytä kaksi- tai monitekijätodennusta. Vaikka rikolliset saisivat tietosi haltuunsa, heiltä puuttuu silti lisätekijä kirjautumiseen.
Aivan kuten tupakoitsijoiden keuhkojen kuvat savukepakkauksissa, pelon lietsominen ja yksinkertaistetut käyttäytymissäännöt ovat vain kohtalaisen onnistuneita - ne unohtuvat yleensä jo muutaman päivän kuluttua. Tämä tarkoittaa, että tietoturva on sisällytettävä yritysfilosofiaan. Siksi tärkein vinkkimme on jatkuva tietoturvatietoisuuskoulutus ja tietoisuuden edistäminen yrityksessä. Loppujen lopuksi työntekijöiden tietämättömyys näistä asioista on edelleen suurin ongelma, kun on kyse tabnabbingiin tai muihin verkkohyökkäyksiin liittyvistä erilaisista riskeistä. Tutustu siihen, miten työntekijöille suunnattu kyberkoulutustietoisuusohjelmamme voi vahvistaa organisaatiosi puolustusta tabnabbingia ja erilaisia muita verkkouhkia vastaan.