تصور کنید برای چندین ساعت پارک ماشین در یک پارکینگ عمومی مبلغ هنگفتی بپردازید. یک زن در بریتانیا ، با یک کلاهبرداری با کد QR که در یک پارکینگ ارسال شده بود ، مبلغ 16000 دلار را از دست داد.

بدین ترتیب که اسکن کد QR ارسال شده با تلفن خود، او را به یک سایت پرداخت پارکینگ جعلی برد که اطلاعات کارت او را سرقت کرد. البته بعد از اینکه تلاشهای سارقان توسط بانکی که این فرد در آن حساب داشت مسدود گردید ، کلاهبرداران مستقیماً با او تماس گرفتند. آنها به عنوان بانک ظاهر شدند و او را متقاعد کردند که یک حساب جدید باز کند و معادل 16000 دلار پول دزدیده شده جمع آوری کند.

در حال حاضر کلاهبرداری هایی از این قبیل در بین عوامل مخرب محبوبیت زیادی پیدا کرده است.

در ایالات متحده، کمیسیون تجارت فدرال (FTC) نسبت به موج جدیدی از کلاهبرداری های کد QR که منجر به از دست دادن وجوه و سرقت هویت شده و از طریق دستگاه های آلوده با انبوهی از جاسوس افزارها، باج افزارها و ویروس ها صورت می گیرد، هشدار داده است.

QRshing نوعی فیشینگ است. از کدهای QR برای ارسال کاربران به یک وب سایت جعلی استفاده می کند که بدافزار را منتشر می کند یا اطلاعات محرمانه را به دست می آورد. مجرمان سایبری که به عنوان شرکت های واقعی ظاهر می شوند، ایمیل های فیشینگ را با یک کد QR ارسال می کنند و از کاربران می خواهند آن را اسکن کنند. سپس اقدام به کسب اطلاعات یا انتشار فایل های آلوده به ویروس می کنند.

با این حال، حتی زمانی که کلاهبرداری های کد QR به طور فزاینده ای رایج می شوند، می توانید از خود محافظت کنید و از راحتی آنها نیز لذت ببرید، زیرا آنها واقعاً می توانند بسیاری از معاملات را با سرعت بیشتری انجام دهند.

امروزه می توانید QR codes را عملاً در هر جایی پیدا کنید. QR مخفف “پاسخ سریع” است، بنابراین QR codes یک کد پاسخ سریع می باشد. آنها شبیه مربعی از پیکسل هستند و شباهت های زیادی با بارکدهایی که در اقلام خواربارفروشی و سایر محصولات می بینید دارند. با این تفاوت که یک کد QR می تواند بیش از 300 برابر اطلاعات یک بارکد را در خود نگه دارد.کدهای QR که قدمت آن به استفاده صنعتی در دهه 1990 برمی گردد، حجم بالایی از اطلاعات بصری را در فضای نسبتاً فشرده ای نگه می دارند.

QR codes ، با یک کلیک روی دوربین گوشی هوشمند ، به سرعت شما را به انواع سایت ها هدایت می کنند.

ممکن است QR codes را در تبلیغات تلویزیونی مشاهده کنید و یا به عنوان بخشی از پوستر یک کنسرت روی بنر دیواری باشند. رستوران ها کدهای QR را روی میزهای خود قرار می دهند تا بتوانید از تلفن هوشمند خود سفارش دهید. پارکینگ ها آنها را روی تابلوها نصب می کنند تا بتوانید به سرعت هزینه پارکینگ را پرداخت کنید (مانند مثال بالا). داروخانه ها ممکن است آنها را در قفسه ها قرار دهد تا بتوانید یک کوپن دیجیتال دانلود کنید.

هر کسی می تواند یکی را ایجاد کند. جستجوی سریع “QR code creator” ده‌ها نتیجه را در گوگل نشان می‌دهد. بسیاری از سایت ها کدهای QR را رایگان ارائه می دهند.

هکرها با کلاهبرداری کد QR که دوربین گوشی هوشمند شما را به سمت یک کد QR جعلی قرار می دهد و آن را اسکن می کند، می توانند شما را به وب سایت های مخرب هدایت کرده و حملات دیگری را به سوی تلفن همراه شما سوق دهند.

از چندین جهت، کلاهبرداری کد QR مانند هر حمله فیشینگ دیگر عمل می کند. البته با چندین حرکت اضافه .

معمولا ، حملات فیشینگ از لینک های تغییر داده شده استفاده می کنند که به عنوان وب سایت های قانونی ظاهر می شوند، به این امید که کاربر را به وب سایت مخرب یک کلاهبردار هدایت کنند. در مورد کد QR تقریباً همین اتفاق اما با چند تفاوت بزرگ می افتد :

• درواقع راهی برای نگاه کردن به کد QR و تعیین اینکه آیا قانونی است یا نه وجود ندارد. نمیتوان مانند تشخیص لینک مخرب مثل غلط املایی هوشمندانه یا انطباق با یک url قانونی ،برای تشخیص QR Code سالم انجام داد.
• کدهای QR می توانند به عملکردها و برنامه های دیگر در برخی از تلفن های هوشمند دسترسی داشته باشند. کلاهبرداران می توانند از آنها برای باز کردن برنامه های پرداخت، افزودن مخاطبین، نوشتن متن یا تماس تلفنی هنگام اسکن یک کد QR جعلی استفاده کنند.

به طور معمول، یکی از دو مورد:

•  شما را به یک وب سایت کلاهبرداری می فرستد که برای سرقت اطلاعات شخصی و مالی شما طراحی شده است. به عنوان مثال، یک کد QR ساختگی برای پارکینگ شما را به سایتی می برد که در آن کارت اعتباری و شماره پلاک خود را وارد می کنید. به جای پرداخت هزینه پارکینگ، به یک کلاهبردار پرداخت می کنید و بعد از آن می توانند از کارت اعتباری شما در مکان های دیگر استفاده کنند.
• می تواند شما را به دانلودی برساند که دستگاه شما را با بدافزار آلوده می کند. دانلودها شامل نرم افزارهای جاسوسی است که مرورگر و رمزهای عبور شما را جاسوسی می کند، باج افزارهایی که دستگاه شما را تا زمانی که هزینه انتشار آن را پرداخت نکنید قفل می کنند (بدون تضمین) یا ویروس هایی که می توانند چیزهایی را که در دستگاه خود ذخیره کرده اید حذف یا آسیب ببینند.

به غیر از ظاهر شدن در ایمیل ها، پیام های مستقیم، تبلیغات رسانه های اجتماعی و مواردی از این دست، مکان های زیادی وجود دارد که کدهای QR جعلی می توانند نشان داده شوند. در اینجا چند مورد از آنها وجود دارد که به طور خاص مورد توجه قرار گرفته اند:

• مکان‌هایی که ممکن است یک کلاهبردار یک کد QR مشروع را با یک کد جعلی جایگزین کرده باشد، مکان‌های عمومی مانند فرودگاه‌ها، ایستگاه‌های اتوبوس و رستوران‌ها از این قبیل اند.
• روی شیشه جلوی اتومبیل ، به شکل بلیط های جعلی پارکینگ که به گونه ای طراحی شده اند که فکر کنید به طور غیرقانونی پارک کرده اید و باید جریمه بپردازید.
• آنها همچنین می‌توانند در آگهی‌ها، تبلیغات جعلی در خیابان و حتی پیشنهادهای تجمیع بدهی دروغین از طریق ایمیل نشان داده شوند.
• اسکن یک کد QR ممکن است یک اعلان در صفحه گوشی هوشمند شما برای دنبال کردن یک لینک باز کند. مانند دیگر کلاهبرداری‌های فیشینگ، کلاهبرداران تمام تلاش خود را می‌کنند تا این پیوند قانونی به نظر برسد. آنها ممکن است نام شرکت آشنا را تغییر دهند تا به نظر برسد که ممکن است از آن شرکت آمده باشد. همچنین، ممکن است از کوتاه‌کننده‌های پیوند استفاده کنند که آدرس‌های وب طولانی را می‌گیرند و آن‌ها را در یک رشته کوتاه از کاراکترها فشرده می‌کنند. ترفندی که وجود دارد این است که شما واقعاً راهی ندارید که بدانید با نگاه کردن به آن شما را به کجا خواهد فرستاد.

• دفاع فعال چیست؟
• pharming چیست ؟

چگونه از کلاهبرداری کد QR جلوگیری کنیم :

خوشبختانه، می توانید برخی از قوانین اساسی را دنبال کنید و از حملات کد QR اجتناب کنید.توصیه های زیر به پیشگیری از کلاهبرداریهای ناشی از QR Code کمک می کند :

• لینک ها و یا کدهای QR ایی که از جاهای نامعتبر و یا غریبه هستند راکلیک و یا اسکن نکنید. کلاهبرداران کدهای QR را از طریق ایمیل و یا سایر رسانه‌های اجتماعی ارسال می‌کنند و حتی گاهی اوقات آنها را از طریق پست فیزیکی به عنوان بخشی از ترفند “پیشنهاد ویژه، فقط اینجا را اسکن کنید” ارسال می‌کنند. در مجموع، اگر یک کد QR حتی از طرف یکی از دوستانتان به طور غیر منتظره به شما رسید، از اسکن آن صرفنظر کنید. ببینید آیا می‌توانید آدرس فیزیکی سایتی را وارد کنید که بتوانید به آن اعتماد کنید.

• لینک و مقصد را بررسی کنید.

  • با توجه به اینکه بسیاری از کدهای QR به سایت های فیشینگ منتهی می شوند، به لینکی که پس از اسکن ظاهر می شود نگاه کنید. کلاهبرداران آدرس‌ وب‌سایت‌های شناخته‌شده را به روش‌های ظریف تغییر می‌دهند . برای مثال، آنها ممکن است از “fed-exdeliverynotices.com” به جای fedex.com قانونی استفاده کنند. یا ممکن است از یک URL کلاهبرداری و به دنبال آن متنی استفاده کنند که سعی می کند آن را قانونی جلوه دهد، مانند «scamsite.com/fedex-delivery».

• حفاظت در برابر بدافزار پیشرفته
• بد افزار چیست؟

• در مورد دنبال کردن لینک های کوتاه شده فکر کنید.

  • لینک های کوتاه شده می توانند میانبر یک وب سایت مخرب باشند. این می تواند به ویژه در مورد ارتباطات ناخواسته نیز صدق کند. و اگر دستگاه یا حساب کاربری آنها هک شده باشد، هنوز هم ممکن است در مورد یکی از دوستان یا اعضای خانواده صدق کند.
•  مراقب دستکاری باشید. در فضاهای فیزیکی، مانند تابلوهای پارکینگ، کلاهبرداران شناخته شده اند که کدهای QR خود را روی کدهای قانونی می چسبانند. اگر نشانه‌ای از تغییر یا محل قرارگیری را دیدید که نامشخص است، آن کد را اسکن نکنید.
• از خواننده کد QR بومی تلفن خود استفاده کنید. از برنامه های خواندن کد QR دوری کنید. آنها می توانند یک خطر امنیتی باشند.

• صورتحساب ها را با کدهای QR پرداخت نکنید.

  • بار دیگر، همیشه نمی توانید مطمئن باشید که کد شما را به یک سایت قانونی ارسال می کند. به جای آن از روش پرداخت مطمئن دیگری استفاده کنید.
• از برنامه های محافظ کلاهبرداری (Scam Protection) در گوشی خود استفاده کنید. با استفاده از قدرت هوش مصنوعی، McAfee Scam Protection جدید می‌تواند به شما هشدار دهد که پیام‌های کلاهبرداری در تلفن شما ظاهر می‌شود. و به عنوان دومین خط دفاعی، اگر به طور تصادفی یک پیوند کلاهبرداری را در یک متن، ایمیل، رسانه های اجتماعی و موارد دیگر دنبال کنید، می تواند سایت های پرخطر را مسدود کند.