من المؤكد أنك استخدمت رموز QR من قبل، وذلك عندما توجه كاميرا هاتفك نحو رمز شريطي مربع للوصول إلى قائمة أو نموذج أو حتى تطبيق، ثم تضغط على الرابط الذي يظهر. ولكن في حين أن معظم رموز الاستجابة السريعة غالبًا ما تكون غير ضارة (خاصة بالمقارنة مع الأيام الجامحة الأولى)، إلا أن طابعها المتواضع والتكنولوجي المنخفض يجعلها أدوات مثالية للممثلين السيئين.
ظهر مثال حديث في الأخبار الأسبوع الماضي فقط، حيث نشرت Malwarebytes منشور مدونة حول هجوم رمز الاستجابة السريعة المستهدف على حسابات WhatsApp. كانت رموز QR المكسورة بمثابة طعم للضحايا، الذين تم استدراجهم للنقر على رابط واتباع التعليمات التي تمنح الوصول إلى جهاز جديد. ثم اكتسب هذا الجهاز المملوك للقراصنة القدرة على قراءة سجلات الرسائل الكاملة وربما تنزيلها.
على الرغم من تعقيد هذه الحملة، إلا أنها تسلط الضوء على كيفية استخدام رمز الاستجابة السريعة كبوابة إلى موقع ويب ضار. والأكثر شيوعًا هو أن الهجوم يكون مباشرًا، كما هو الحال عندما كتبت عن مخطط تصيد في ديسمبر الماضي، والذي حاول سرقة معلومات تسجيل الدخول لحسابات Microsoft. أدى مسح رمز الاستجابة السريعة إلى صفحة ويب للتصيد الاحتيالي.
الأمر الأكثر خطورة فيما يتعلق برموز الاستجابة السريعة هو أنها يمكن أن تظهر في عدد من البيئات، والتي قد لا تربط بعضها بسلوك مشبوه. ولا يقتصر الأمر على عالم الإنترنت أيضًا، فمن المحتمل أيضًا أن تواجه رمز QR سيئًا أثناء تنفيذ المهمات. على سبيل المثال:
- الإعلانات المادية: فكر في النشرات والفواتير المنشورة في الأماكن العامة. إنهم يزعمون أن موضوعهم يتعلق بخدمة أو مؤسسة خيرية أو أعمال تجارية وما إلى ذلك، ولكن بدلاً من ذلك يرسلونك إلى موقع زائف أو يجبرون جهازك على تنزيل برامج ضارة.
- التواصل النصي: إذا تعرض أصدقاؤك أو عائلتك أو زملائك للاختراق، فمن الممكن أن يتم إرسال رمز الاستجابة السريعة للتصيد الاحتيالي إليك لانتزاع المعلومات الشخصية منك.
- بريد إلكتروني: وبالمثل، يمكن أن تتلقى رسائل بريد إلكتروني مزيفة من أشخاص تعرفهم أو من المتاجر التي تتسوق فيها، وتطلب منك تأكيد المعلومات الشخصية. يمكن أن تختلف الأسباب على نطاق واسع.
- البريد المادي: يمكن أن يتضمن بريدك إعلانات وإشعارات مزيفة تحتوي على رموز QR ضارة. الحزم ليست معفاة أيضًا – تتمثل عملية الاحتيال الجديدة في إرسال عناصر غير مرغوب فيها إلى الأشخاص، ثم تضمين رمز الاستجابة السريعة للتصيد الاحتيالي معهم لتعطيل تفاصيلك (وربما حتى معلوماتك المالية).
أحد المظاهر الخادعة بشكل خاص لرموز QR السيئة هو الإضافات إلى النشرات والإعلانات المادية المشروعة المنشورة في الأماكن العامة، أو على أشياء مثل عدادات مواقف السيارات. سيقوم المحتال المحتمل بلصق أو لصق رمز الاستجابة السريعة البديل فوق الرمز الشريطي المناسب، والذي يرسل بعد ذلك الأشخاص المطمئنين إلى موقع زائف. قد لا تفقد معلوماتك الشخصية فحسب، بل قد تفقد بطاقتك الائتمانية أو التفاصيل المالية الأخرى أيضًا.
يمكن أن تكون تطبيقات مسح رمز الاستجابة السريعة مشكلة أيضًا. في الوقت الحاضر، لا تحتاج إلى تطبيق تابع لجهة خارجية، حيث سيتعامل تطبيق الكاميرا على هواتف Android وiOS بشكل جيد مع رموز QR. لكن خيارات الطرف الثالث هذه لا تزال موجودة، ويمكن لأي شخص تنزيل أحد هذه الخيارات دون أن يدرك خطورة الاستيلاء على البرامج الضارة التي ستتجسس على نشاطك وتسرق البيانات.
لحماية نفسك من عمليات الاحتيال المتعلقة برمز الاستجابة السريعة، كن على دراية بالرموز التي تقوم بمسحها ضوئيًا. تحقق أيضًا من أن الرابط مناسب للموقف، وإذا قمت بالنقر فوقه، ما إذا كان يطلب معلومات قد تكون ذات صلة. استخدم طرقًا بديلة للوصول إلى المعلومات أو إجراء الدفع في حالة حدوث أي شيء.
يمكنك أيضًا تنشيط إجراءات دفاعية أخرى في حساباتك مثل مفاتيح المرور، وهذا النوع من تسجيل الدخول مقاوم للتصيد الاحتيالي. إذا لم تكن مفاتيح المرور متوفرة، فإن المصادقة الثنائية على الأقل تضيف نقطة تفتيش ثانية يجب على المتسلل اجتيازها للوصول. ومع ذلك، يمكن للمتسللين إحباط المصادقة الثنائية، لذا فإن مفاتيح المرور هي الخطوة الأقوى. (هل تحتاج إلى الحفاظ على أمان كلمات المرور ورموز المصادقة الثنائية ومفاتيح المرور الخاصة بك؟ يمكن لمدير كلمات المرور تخزينها بأمان نيابةً عنك.)
يمكن أن تكون مجموعات مكافحة الفيروسات طبقة أخرى من الحماية (بما في ذلك Microsoft Defender، المضمن في اشتراكات Microsoft 365). وهي توفر عمومًا حماية للهاتف المحمول تتضمن إجراءات مكافحة التصيد الاحتيالي. ومع ذلك، فهي ليست مقاومة للفشل، ولهذا السبب لا يزال اتباع نهج متعدد الطبقات للأمان هو أفضل طريقة يمكن اتباعها.
في الأساس، نظرًا لأنه يمكن العثور على رموز QR في كل مكان تقريبًا، فيمكن أيضًا العثور على عمليات الاحتيال التي تحاول خداع المطمئنين. ولكن إذا كانت لديك بالفعل إجراءات أمنية مطبقة، فإن تجنب الصداع لا يتطلب سوى القليل من التفكير.