מתקפות Quishing מתוחכמות: כך קודי QR משמשים תוקפים לעקיפת מערכות אבטחה
🛡️ מתקפות Quishing מתוחכמות: כך קודי QR משמשים תוקפים לעקיפת מערכות אבטחה
בעידן שבו כולנו סורקים קודי QR כמעט באופן אוטומטי – במסעדה, בתחנת דלק או בכנסים – גם פושעי הסייבר לא נשארים מאחור. מתקפת Quishing (קיצור של QR + Phishing) הפכה לאחת הטקטיקות הפופולריות ביותר בשנת 2025, והיא מצליחה לעקוף בקלות מערכות הגנה מתקדמות ולהטעות גם את העובדים הערניים ביותר.
📸 מה זה Quishing?
Quishing היא טכניקת פישינג שבה נעשה שימוש בקוד QR, שבסורקו מפנה את הקורבן לקישור זדוני. המטרה – לגנוב פרטי גישה, לבצע השתלטות על חשבון, או להפעיל קוד זדוני.
בניגוד לפישינג רגיל במייל, כאן המשתמש הוא זה שמוזמן "ליזום" פעולה – הסריקה – מה שיוצר תחושת ביטחון מזויפת.
🔍 כך עובדת המתקפה:
- העובד מקבל הודעה במייל, פוסטר מודפס, או הודעת וואטסאפ עם קוד QR.
- הקוד מפנה לאתר תמים למראה, שלרוב כולל מנגנון אימות כמו Cloudflare Turnstile כדי לעקוף סורקי אבטחה.
- לאחר האימות, המשתמש מועבר לעמוד התחברות מזויף שמחקה את מראה Microsoft, Google או מערכת פנימית של הארגון.
- המשתמש מזין פרטי גישה – ואלו נשלחים ישירות לתוקף.
⚠️ למה זה כל כך מסוכן?
- קוד QR לא מציג את הקישור המלא – מה שמונע מהמשתמש לזהות שמדובר באתר חשוד.
- סריקה מהטלפון מדלגת על מנגנוני סינון האימייל של הארגון.
- לרוב נעשה שימוש באתרי הפניה לגיטימיים (כמו bit.ly, redirect של Cloudflare, וכו') מה שמטשטש את הזהות האמיתית של הכתובת.
👨💻 הנחיות חשובות לעובדים:
- אין לסרוק קוד QR שמגיע ממקור לא ברור, גם אם ההודעה נראית רשמית.
- במקרה שסורקים – יש לבדוק היטב את כתובת האתר שמופיעה לפני שממלאים פרטים.
- אם עמוד התחברות נראה מוכר אך כתובת האתר שונה – להימנע מהזנת סיסמא ולדווח ל־IT.
- חשוב לדעת: גם קודים פיזיים (מודפסים) במרחב הציבורי עלולים להכיל קישורים מסוכנים!
🧠 המלצות לארגונים:
- הטמיעו מדיניות ברורה לגבי שימוש בקודי QR ברשת הארגונית.
- שלבו נושא Quishing במערך ההדרכות לעובדים.
- השתמשו בפתרונות אבטחה מבוססי התנהגות ולא רק סריקה קלאסית.
- בצעו בדיקה של תשתיות קיימות מול אמצעי התחזות מתקדמים.