Experiment s pizzou za korunu ukázal, jak snadné je okrást lidi přes QR kód

Chytrá bezpečnost| Žádné komentáře|

Experiment ukázal, jak nebezpečně snadno lze lidi připravit o peníze. Stačil k tomu podvodný QR kód. Pod rouškou fiktivní pizzerie nabízeli kolemjdoucím pizzu za jednu korunu. Výsledek? Téměř dvě třetiny lidí bez rozmyslu zadaly údaje ze své platební karty. Jenže v reálném světě může stejný scénář znamenat statisícové škody, ztrátu citlivých dat nebo přístup hackerů do firemní sítě.

Quishing, tedy phishing prostřednictvím QR kódů, patří mezi nejrychleji rostoucí kybernetické hrozby současnosti. Meziročně vzrostl počet útoků o 21 procent a QR kód se objevil už ve 22 procentech phishingových kampaní zaměřených na vylákání přihlašovacích údajů. Denně je přitom po světě rozesláno 3,4 miliardy phishingových e-mailů.

V článku najdete: skrýt

Jak funguje quishing a proč je tak účinný?

Útočníci mají k dispozici celou paletu metod. Vylepují falešné QR kódy na parkovací automaty nebo plakáty a oběti přesměrují na podvodné platební brány. V e-mailech se stále častěji objevují PDF přílohy s vloženým QR kódem, který vede na škodlivý web a dokáže obejít běžné bezpečnostní filtry.

Problém je, že QR kódy působí na uživatele důvěryhodněji než odkaz v e-mailu a zároveň je dokážou snadno maskovat i před technickými opatřeními. To z nich dělá atraktivní a velmi účinný nástroj pro útoky,“ upozorňuje Václav Svátek, generální ředitel společnosti ČMIS.

Kódy ale mohou směřovat i na stránky s falešnou reklamou nebo malwarem, případně na podvodné Wi-Fi sítě. Setkáváme se také s podvrženými aplikacemi pro čtení QR kódů, které útočníkům umožňují přístup do zařízení.

Experiment ČMIZZA: Pizza za korunu jako past

Česká technologická společnost ČMIS se rozhodla na riziko upozornit prostřednictvím experimentu s názvem ČMIZZA. Vystoupila pod fiktivní značkou pizzerie a nabízela kolemjdoucím pizzu za jednu korunu. Stačilo naskenovat QR kód na krabici.

Obrázek: Experiment s pizzou za korunu ukázal, jak snadné je okrást lidi přes QR kód

Foto: Freepik

Výsledky byly alarmující. Téměř dvě třetiny lidí neváhaly a ochotně zadaly údaje ze své platební karty, protože nabídku vyhodnotili jako výhodnou příležitost. Celá akce ukázala, jak snadno lze uživatele nalákat na atraktivní nabídku a přimět je k zadání citlivých informací.

Chtěli jsme ukázat, jak snadno lidé naletí atraktivní nabídce. Pizza za korunu byla neškodná, ale stejný scénář v reálném světě může znamenat, že útočníci získají přihlašovací údaje nebo otevřou přístup do firemní sítě,“ vysvětluje Svátek.

Lidský faktor jako nejslabší článek

Experiment potvrdil, že lidský faktor zůstává nejslabším článkem kybernetické bezpečnosti a pouhá technická opatření nestačí. Průzkumy ukazují, že jen 27 procent zaměstnanců si věří, že dokážou rozpoznat cílený phishingový e-mail.

Útočníci navíc často zneužívají skutečnou firemní komunikaci, což odhalení dále komplikuje. Vysoké riziko se týká i nových zaměstnanců. Ti mají v prvních 90 dnech ve firmě až o 44 procent vyšší pravděpodobnost, že útoku naletí. Celkově platí, že 95 procent kybernetických útoků má původ v lidské chybě.

Jak se bránit quishingu?

Obrana je přitom relativně jednoduchá. Neskenujte neznámé QR kódy, vždy ověřte, kam vedou, a nikdy nezadávejte citlivé údaje na podezřelých stránkách. Firmy by kromě technických opatření měly pravidelně školit své zaměstnance, protože lidská chyba zůstává hlavní vstupní branou útoků.

ČMIS kromě osvětových kampaní pomáhá firmám s praktickou ochranou. Zajišťuje phishingové simulace, školení zaměstnanců, bezpečnostní audity, penetrační testy i nepřetržitý dohled a rychlou reakci při incidentech.

Obrázek: Experiment s pizzou za korunu ukázal, jak snadné je okrást lidi přes QR kód

Václav Svátek, generální ředitel ČMIS. Foto: Se souhlasem ČMIS

„Při ransomwarových útocích podporujeme firmy v rámci služby Ransomware pohotovost. Aktivujeme pohotovostní postupy, kde izolujeme napadené systémy, provádíme forenzní analýzu, obnovujeme data ze záloh a koordinujeme další kroky s právními a komunikačními týmy. Díky tomu lze dopad útoku omezit na minimum a provoz rychle obnovit,“ uvádí Svátek.

Děsivé statistiky ukazují na vznikající problém

Čísla hovoří jasně. V 90 procentech quishingových útoků jde o krádež přihlašovacích údajů a dalších citlivých dat, obvykle zaměřených na firemní e-mailové systémy, cloudové úložiště nebo nástroje pro vzdálený přístup.

Podle NÚKIB se počet hlášených kybernetických incidentů v Česku v roce 2023 zvýšil o 80 procent, z 146 na 262. V roce 2024 pak firmy a instituce čelily celkem 1699 útokům, které způsobily škody ve výši 632 milionů korun. Nejčastěji byly terčem e-shopy, školy, vzdělávací instituce a nebankovní společnosti.

Experiment ČMIS ukázal, že více než 60 procent lidí bez rozmyslu načte QR kód a zadá platební údaje, aniž řeší potenciální riziko. A to je přesně to, na co útočníci spoléhají, na naši důvěřivost a touhu po výhodné nabídce.

Zdroj: ČMIS

O autorovi

Lukáš Voříšek

Odborný redaktor specializující se na AI, chytrá zařízení, mobilní technologie a kybernetickou bezpečnost. Prošel redakcemi technických magazínů Stahuj.cz, PCTuning a CDR.

Odebírat
Upozornit na
guest
0 Komentářů
nejstarší
nejnovější nejlépe hodnocené
Inline Feedbacks
View all comments

Příbuzné příspěvky

Obrázek: vivo představilo X300 Pro: Testujeme nového krále fotomobilů s 200Mpx snímačem
vivo představilo X300 Pro: Testujeme nového krále fotomobilů s 200Mpx snímačem
Obrázek: Pozor na levná šidítka: 5 funkcí, které by měl mít dobrý robotický vysavač
Pozor na levná šidítka: 5 funkcí, které by měl mít dobrý robotický vysavač
Obrázek: Dračí oheň v kapse: Realme udělalo Game of Thrones smartphone, který mění barvu podle tepla
Dračí oheň v kapse: Realme udělalo Game of Thrones smartphone, který mění barvu podle tepla
Obrázek: Týden inovací slaví 10 let: Přijede Stephen Fry, OpenAI a stovky projektů, které mění svět
Týden inovací slaví 10 let: Přijede Stephen Fry, OpenAI a stovky projektů, které mění svět
Obrázek: Google varuje před obřím únikem dat. 2,5 miliardy uživatelů Gmailu v ohrožení
Google varuje před obřím únikem dat. 2,5 miliardy uživatelů Gmailu v ohrožení
Obrázek: Jste opravdový Applista? Těchto pět tipů by měl znát každý majitel iPhonu
Jste opravdový Applista? Těchto pět tipů by měl znát každý majitel iPhonu
Obrázek: Zkrachoval vám dodavatel fotovoltaiky? Nepropadejte panice, takto situaci vyřešíte
Zkrachoval vám dodavatel fotovoltaiky? Nepropadejte panice, takto situaci vyřešíte
Obrázek: Soukromé konverzace s ChatGPT byly dohledatelné ve vyhledávačích. Jak být o krok napřed?
Soukromé konverzace s ChatGPT byly dohledatelné ve vyhledávačích. Jak být o krok napřed?