Tech

اسکن آن کد QR می تواند شما را آسیب پذیر کند. در اینجا نحوه محافظت از خود آورده شده است

به سختی می توان باور کرد که چیزی شرورانه می تواند در یک کد QR نهفته باشد، اما می تواند. کدهای QR به راحتی زندگی مدرن تبدیل شده اند. فقط موزاییک سیاه و سفید را با دوربین تلفن خود اسکن کنید و می توانید همه کارها را از اتصال به Wi-Fi اتاق هتل خود تا پرداخت هزینه پارکینگ عمومی انجام دهید...

1 min read Via www.fastcompany.com

Mewayz Team

Editorial Team

Tech

احتمالاً این هفته یک کد QR را بدون دوبار فکر کردن اسکن کرده اید. شاید سر میز رستوران، پارکومتر یا نشان کنفرانس بود. این مربع های پیکسلی آنقدر در زندگی روزمره جاسازی شده اند که اکثر مردم با همان اعتماد معمولی مانند تابلوهای خیابان با آنها برخورد می کنند. اما برخلاف تابلوهای خیابانی، یک کد QR می‌تواند شما را به هرجایی هدایت کند – و به طور فزاینده‌ای، مجرمان سایبری از این اعتماد کور برای سرقت اعتبار، نصب بدافزار و تخلیه حساب‌های بانکی سوء استفاده می‌کنند. FBI در سال 2022 یک هشدار عمومی در مورد کدهای QR مخرب صادر کرد و از آن زمان این مشکل سریعتر شده است. تنها در سال 2025، حملات فیشینگ مبتنی بر QR - موسوم به "quishing" - بیش از 400٪ در مقایسه با سال قبل افزایش یافت. اگر کسب‌وکار شما برای تعاملات، پرداخت‌ها یا عملیات با مشتری به کدهای QR متکی است، درک این تهدید اختیاری نیست.

حملات کد QR در واقع چگونه کار می کنند

کد QR به سادگی قالبی قابل خواندن توسط ماشین برای رمزگذاری URL یا سایر داده ها است. وقتی یکی را اسکن می‌کنید، تلفن شما هر پیوندی را که تعبیه شده است باز می‌کند - و خطر اینجاست. مهاجمان کدهای QR ایجاد می کنند که به صفحات فیشینگ قانع کننده ای اشاره می کند که برای جمع آوری اعتبار ورود، جزئیات پرداخت یا اطلاعات شخصی طراحی شده اند. از آنجایی که چشم انسان نمی تواند URL رمزگذاری شده را قبل از اسکن بخواند، هیچ نشانه بصری مبنی بر اشتباه بودن چیزی وجود ندارد.

متداول ترین روش حمله، جایگزینی فیزیکی است. یک مجرم یک کد QR مخرب را روی یک برچسب چاپ می کند و آن را روی یک کد قانونی قرار می دهد - روی پارکومتر، چادر میز رستوران یا تابلوی اعلانات عمومی. قربانی آنچه را که فکر می کند یک کد قابل اعتماد است اسکن می کند و در صفحه پرداخت جعلی یا صفحه ورود به سیستم قرار می گیرد. در آستین، تگزاس، پلیس برچسب‌های QR تقلبی را در بیش از 30 پارکومتر عمومی در یک عملیات کشف کرد و رانندگان را به یک درگاه پرداخت جعلی هدایت کرد که شماره کارت اعتباری آنها را در زمان واقعی ضبط می‌کرد.

حملات پیچیده‌تر کدهای QR را در ایمیل‌های فیشینگ، فاکتورهای PDF و حتی نامه‌های فیزیکی جاسازی می‌کنند. از آنجایی که فیلترهای امنیتی ایمیل برای اسکن لینک ها و پیوست های مبتنی بر متن طراحی شده اند، یک تصویر کد QR اغلب به طور کامل این دفاع ها را دور می زند. شرکت امنیتی Abnormal Security گزارش داد که 89 درصد از ایمیل‌های فیشینگ با کد QR از فیلترهای ایمیل سنتی در طول آزمایش طفره رفته‌اند - شکافی که مهاجمان به طور فعال در برابر مشاغل با هر اندازه از آن سوء استفاده می‌کنند.

خسارت دنیای واقعی: بیشتر از رمزهای عبور دزدیده شده

پیامدهای یک حمله موفق کوشینگ بسیار فراتر از یک رمز عبور در معرض خطر است. در زمینه کسب و کار، یک کارمند منفرد که یک کد QR مخرب را در طول یک استراحت ناهار اسکن می کند، می تواند به مهاجمان جای پایی برای سیستم های شرکتی بدهد. از آنجا، حرکت جانبی از طریق شبکه‌های داخلی، استقرار باج‌افزار، و استخراج داده‌ها به احتمالات واقعی تبدیل می‌شوند. بر اساس گزارش سالانه IBM، میانگین هزینه نقض داده ها در سال 2024 به 4.88 میلیون دلار در سراسر جهان رسید.

برای کسب‌وکارهای کوچک و متوسط، تأثیر آن به‌طور نامتناسبی مخرب است. یک صاحب کافه در منچستر متوجه شد که شخصی کدهای QR روی هر میز را با جعلی جایگزین کرده است که مشتریان را به صفحه پرداخت شبیه سازی شده هدایت می کند. تا زمانی که کلاهبرداری سه روز بعد شناسایی شد، بیش از 70 مشتری مشخصات کارت خود را در سایت مهاجم وارد کرده بودند. جبران خسارت شهرت ماهها طول کشید - بسیار بیشتر از ضررهای مالی.

همچنین تهدید رو به رشد کدهای QR وجود دارد که باعث دانلود خودکار برنامه‌های مخرب، به‌ویژه در دستگاه‌های Android می‌شود. این برنامه‌ها می‌توانند بی‌صدا ضربه‌های کلید را ضبط کنند، به مخاطبین دسترسی پیدا کنند، کدهای احراز هویت دو مرحله‌ای را رهگیری کنند و حتی دوربین‌ها و میکروفون‌ها را فعال کنند. یک اسکن واحد، کمتر از دو ثانیه کار، می‌تواند کل دستگاه را در معرض خطر قرار دهد.

چرا کسب و کارها هم هدف و هم بردار هستند

کسب و کارها با ریسک دو طرفه روبرو هستند. از یک طرف، کارمندانی که کدهای QR ناشناخته را اسکن می‌کنند، تهدیدی برای امنیت شرکت هستند. از سوی دیگر، کسب‌وکارهایی که کدهای QR را برای مقاصد رویارویی با مشتری - منوها، پرداخت‌ها، فرم‌های بازخورد، دسترسی به Wi-Fi - به کار می‌گیرند، می‌توانند ناخودآگاه در صورت دستکاری این کدها به حامل‌هایی برای حملات تبدیل شوند.

صنایع مهمان‌نوازی، خرده‌فروشی و رویدادها آسیب‌پذیر هستند. هر محیطی که در آن کدهای QR بر روی مواد فیزیکی چاپ شده و در فضاهای عمومی رها می شوند، یک هدف است. یک سازمان‌دهنده کنفرانس که کدهای QR را بر روی نشان‌های شرکت‌کنندگان، علائم راهنمایی و نمایش‌های حامیان چاپ می‌کند، ده‌ها نقطه بالقوه دستکاری دارد. بدون تأیید منظم، هر یک از آن کدها را می توان یک شبه جایگزین کرد.

بینش کلیدی: بزرگترین آسیب پذیری کدهای QR فنی نیست - رفتاری است. افراد آموزش دیده اند که ابتدا اسکن کنند و بعد فکر کنند. برخلاف کلیک بر روی پیوند ایمیل مشکوک، اسکن یک کد QR به نظر فیزیکی، ملموس و در نتیجه قابل اعتماد است. مهاجمان بی وقفه از این احساس نادرست امنیت سوء استفاده می کنند.

هفت گام عملی برای محافظت از خود و کسب و کارتان

دفاع در برابر حملات مبتنی بر QR نیازی به زیرساخت امنیتی گران قیمت ندارد. این نیاز به آگاهی، فرآیند و ابزار مناسب دارد. در اینجا اقدامات مشخصی وجود دارد که افراد و مشاغل باید فوراً آنها را اجرا کنند.

  1. قبل از ادامه، پیش‌نمایش را مشاهده کنید. اکنون هر دو iOS و Android زمانی که دوربین خود را به سمت کد QR می‌گیرید، نشانی اینترنتی مقصد را نمایش می‌دهند. قبل از ضربه زدن، آن URL را به دقت بخوانید. به دنبال غلط املایی، پسوندهای نامتعارف دامنه، یا URL هایی باشید که با نام تجاری مورد انتظار مطابقت ندارند. اگر کد پارکومتر شما را به جای دامنه رسمی شهر به «c1ty-parking-pay.xyz» می‌فرستد، روی آن ضربه نزنید.
  2. هرگز کدهای QR را از ایمیل‌ها یا پیام‌های متنی اسکن نکنید. اگر ایمیلی از شما می‌خواهد یک کد QR را برای تأیید حساب خود، تنظیم مجدد رمز عبور یا تأیید پرداخت اسکن کنید، به طور پیش‌فرض آن را مشکوک تلقی کنید. سازمان‌های قانونی پیوندهای قابل کلیک ارسال می‌کنند — آنها شما را مجبور به اسکن QR نمی‌کنند، که فقط باعث ایجاد اصطکاک می‌شود.
  3. کدهای QR فیزیکی را برای دستکاری بررسی کنید. قبل از اسکن کد روی پارکومتر، میز رستوران یا تابلوی عمومی، بررسی کنید که آیا برچسبی است که روی کد دیگری قرار گرفته است یا خیر. انگشت خود را روی آن بکشید. اگر لایه لایه، برجسته یا نامناسب است، آن را گزارش کنید و اسکن نکنید.
  4. از یک برنامه اسکنر QR اختصاصی با ویژگی‌های امنیتی استفاده کنید. چندین برنامه متمرکز بر امنیت، URL مقصد را قبل از باز کردن آن، تجزیه و تحلیل می‌کنند و با پایگاه‌های اطلاعاتی فیشینگ شناخته شده بررسی می‌کنند. Norton، Kaspersky، و Trend Micro همگی اسکنرهای QR رایگان با تشخیص تهدید داخلی ارائه می دهند.
  5. تأیید هویت چند عاملی را در همه جا فعال کنید. حتی اگر اعتبارنامه ها از طریق یک حمله quishing به خطر بیفتند، MFA مانعی را اضافه می کند که از تصرف فوری حساب جلوگیری می کند. کلیدهای سخت‌افزاری یا برنامه‌های احراز هویت را به کدهای مبتنی بر پیامک که خود می‌توانند رهگیری شوند، اولویت دهید.
  6. کدهای QR کسب و کارتان را مرتباً حسابرسی کنید. اگر کسب‌وکار شما از کدهای QR در مکان‌های فیزیکی استفاده می‌کند، فردی را تعیین کنید تا هر هفته آنها را تأیید کند. هر کد را اسکن کنید، تأیید کنید که به مقصد صحیح منتهی می شود و دستکاری فیزیکی را بررسی کنید. این فرآیند را مستند کنید.
  7. عملیات دیجیتالی خود را متمرکز کنید. هرچه ابزارهای کسب و کار شما پراکنده تر باشد - پیوندهای پرداخت جداگانه، صفحات رزرو متعدد، فرم سازهای مختلف - نظارت بر موارد مشروع و در معرض خطر دشوارتر است. ادغام نقاط تماس با مشتری در یک پلت فرم واحد سطح حمله را به میزان قابل توجهی کاهش می دهد.

حضور دیجیتالی خود را به عنوان یک استراتژی امنیتی متمرکز کنید

یکی از نادیده گرفته شده ترین دفاع ها در برابر تقلب کد QR، ساده سازی است. هنگامی که یک کسب و کار با ده ها ابزار مختلف کار می کند - یکی برای پرداخت، دیگری برای رزرو، سومی برای بازخورد مشتری، چهارمی برای به اشتراک گذاری پیوند - هر ابزار URL ها و کدهای QR خود را تولید می کند. این تقسیم‌بندی هم برای کارکنان و هم برای مشتریان سردرگمی ایجاد می‌کند و تشخیص کدهای قانونی از کدهای تقلبی را دشوارتر می‌کند.

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

این جایی است که پلتفرم هایی مانند Mewayz یک مزیت ساختاری ارائه می دهند. با ادغام عملکردهایی مانند صورت‌حساب، رزرو، CRM، صفحات پیوند در بیو و جمع‌آوری پرداخت در یک سیستم‌عامل تجاری واحد، تعداد URL‌های متمایز مورد استفاده کسب‌وکارتان را در خارج کاهش می‌دهید. مشتریان شما یاد می گیرند که یک دامنه را تشخیص دهند. کارکنان شما بر یک پلت فرم نظارت می کنند. اگر یک کد QR در کافه شما به صفحه مجهز به Mewayz شما اشاره نکند، بلافاصله مشکوک است - و این وضوح خود یک لایه امنیتی است.

207 ماژول‌های یکپارچه Mewayz به این معنی است که پیوند روی چادر میز شما، کد QR فاکتور و تأیید رزرو شما از یک دامنه ثابت و قابل تشخیص عبور می‌کنند. برای بیش از 138000 کسب‌وکار در حال حاضر در این پلتفرم، این یکپارچگی نه تنها راحت است - بلکه یک مکانیسم دفاعی است که تشخیص دستکاری را آسان‌تر و اجرای قانع‌کننده‌تر را سخت‌تر می‌کند.

آموزش تیم شما: فایروال انسانی

تکنولوژی به تنهایی این مشکل را حل نمی کند. موثرترین دفاع تیمی است که بداند به دنبال چه چیزی باشد. آموزش آگاهی از امنیت باید به صراحت به تهدیدات مبتنی بر QR بپردازد - مقوله ای که بیشتر برنامه های آموزشی سنتی هنوز نادیده گرفته می شوند. کارمندان باید بدانند که اسکن یک کد QR ناشناخته خطری مشابه با کلیک کردن روی پیوند ناشناخته در ایمیل دارد.

تمرینات کویشینگ شبیه سازی شده را در کنار شبیه سازی های فیشینگ معمولی خود اجرا کنید. کدهای QR آزمایشی را در قسمت‌های مشترک چاپ کنید - اتاق‌های استراحت، میز پذیرش، اتاق‌های جلسه - که هنگام اسکن به یک صفحه آگاهی داخلی منجر می‌شوند. ردیابی کنید که چه کسی آنها را اسکن می کند. از داده‌ها برای شناسایی شکاف‌های آگاهی استفاده کنید و آموزش‌های اضافی را در جایی که لازم است هدف قرار دهید. سازمان‌هایی که این شبیه‌سازی‌ها را اجرا می‌کنند، کاهش 60 تا 70 درصدی حساسیت به حملات واقعی را ظرف شش ماه گزارش می‌کنند.

فرآیند گزارش دهی را بدون اصطکاک انجام دهید. اگر یک کارمند یک کد QR مشکوک را ببیند - چه در دفتر، در یک سایت مشتری یا در یک ایمیل - باید بتواند آن را در چند ثانیه گزارش کند. یک کانال Slack، یک نام مستعار ایمیل اختصاصی، یا یک فرم داخلی ساده، مانع بین توجه به چیزی اشتباه و انجام کاری در مورد آن را برطرف می‌کند.

آینده امنیت QR: چه چیزی در راه است

صنعت امنیت با اقدامات متقابل جدید به افزایش رکود پاسخ می دهد. Google Chrome و Apple Safari هر دو در حال گسترش حفاظت های مرور ایمن خود هستند تا هشدارهای تهاجمی تری را زمانی که URL اسکن شده با QR به یک دامنه فیشینگ شناخته شده یا مشکوک منتهی می شود، ارائه دهند. چندین استارت‌آپ در حال توسعه «کدهای QR تأیید شده» هستند که امضاهای رمزنگاری را جاسازی می‌کنند و به اسکنرها اجازه می‌دهند تأیید کنند که کدی توسط منبع ادعا شده آن تولید شده و دستکاری نشده است.

از جنبه نظارتی، دستورالعمل بازنگری شده خدمات پرداخت اتحادیه اروپا (PSD3) شامل مقرراتی است که به طور خاص به امنیت پرداخت کد QR می پردازد، که نیازمند مراحل تأیید اضافی برای تراکنش های آغاز شده با QR بالاتر از آستانه های خاص است. چارچوب های مشابهی در ایالات متحده، کانادا و استرالیا در دست بحث است.

اما مقررات و فناوری همیشه از مهاجمان عقب خواهند ماند. بادوام ترین محافظت ترکیبی از هوشیاری فردی، فرآیند سازمانی و سادگی عملیاتی است. هر کد QR که اسکن می کنید، تصمیمی برای اعتماد به یک مقصد ناشناخته است. با آن با همان احتیاط رفتار کنید که برای هر پیوند دیگری از یک منبع تأیید نشده اعمال می‌کنید - زیرا دقیقاً همین است. دو ثانیه‌ای که صرف خواندن URL پیش‌نمایش می‌کنید می‌تواند شما را از هفته‌ها کنترل آسیب نجات دهد.

سوالات متداول

فیشینگ کد QR (quishing) چیست و چگونه کار می کند؟

فیشینگ کد QR، معروف به کویشینگ، زمانی اتفاق می‌افتد که مجرمان سایبری کدهای QR قانونی را با کدهای مخرب جایگزین می‌کنند که کاربران را به وب‌سایت‌های جعلی هدایت می‌کنند. این سایت‌های جعلی از مارک‌های مورد اعتماد تقلید می‌کنند تا اعتبار ورود به سیستم، اطلاعات مالی را به سرقت ببرند یا بدافزار را روی دستگاه شما نصب کنند. حملات معمولاً پارکومترها، منوهای رستوران و مواد رویداد را هدف قرار می‌دهند که مردم بدون تردید آنها را اسکن می‌کنند، و این یکی از سریع‌ترین تهدیدهای سایبری در حال رشد امروزی است.

چگونه می توانم قبل از اسکن کردن یک کد QR ایمن را تشخیص دهم؟

همیشه قبل از باز کردن تلفن، URL نمایش داده شده را پیش‌نمایش کنید. به دنبال غلط املایی، دامنه های غیرمعمول یا لینک های کوتاه شده باشید که مقصد واقعی را پنهان می کند. از اسکن کدهای QR روی برچسب‌هایی که روی کدهای اصلی قرار داده شده‌اند خودداری کنید، زیرا این یک روش دستکاری رایج است. به جای برنامه‌های اسکنر شخص ثالث، از دوربین داخلی تلفن خود استفاده کنید و هرگز رمز عبور یا جزئیات پرداخت را در سایتی وارد نکنید که از طریق کد QR ناآشنا به آن دسترسی پیدا کرده‌اید.

آیا کسب و کارها می توانند از مشتریان خود در برابر کدهای QR جعلی محافظت کنند؟

بله. کسب‌وکارها باید از کدهای QR پویا و مارک دار با دامنه‌های سفارشی استفاده کنند تا مشتریان بتوانند صحت آن را تأیید کنند. به طور منظم کدهای QR فیزیکی را برای دستکاری بازرسی کنید و در صورت مشکوک شدن به خطر، URL ها را بچرخانید. پلت‌فرم‌هایی مانند Mewayz یک سیستم‌عامل تجاری ۲۰۷ ماژول را ارائه می‌کنند که از ۱۹ دلار در ماه شروع می‌شود که شامل مدیریت پیوند امن و نقاط لمسی دیجیتال مارک‌دار می‌شود و به طور کلی اتکا به کدهای QR فیزیکی در معرض نمایش را کاهش می‌دهد.

اگر به طور تصادفی یک کد QR مخرب را اسکن کردم، چه کاری باید انجام دهم؟

بدون وارد کردن اطلاعات، فوراً برگه مرورگر را ببندید. اگر قبلاً اعتبارنامه ارسال کرده اید، فوراً آن رمزهای عبور را تغییر دهید و احراز هویت دو مرحله ای را در حساب های آسیب دیده فعال کنید. یک اسکن امنیتی روی دستگاه خود اجرا کنید، صورت‌حساب‌های بانکی را برای هزینه‌های غیرمجاز نظارت کنید، و کد QR تقلبی را به کسب‌وکاری که کد آن جعلی شده است و به FTC در ReportFraud.ftc.gov گزارش دهید.