كيف يمكن أن تخسر أموالك بمجرد مسح رمز استجابة سريع؟
أكواد الاستجابة السريعة، المعروفة باسم “كيو آر” (QR)، قطعت شوطًا طويلًا منذ اختراعها في عام 1994 بواسطة إحدى الشركات التابعة لشركة تويوتا. في البداية، تم تقديمها للتغلب على القيود المفروضة على الرموز الشريطية “الباركود” أثناء عملية تصنيع السيارات، ومنذ ذلك الحين أصبحت أكواد الاستجابة السريعة جزءًا لا يتجزأ من حياتنا اليومية.
سمح انتشار الكاميرات عالية الدقة في الهواتف الذكية الحديثة باستخدام هذه الرموز بطرق جديدة. فبفضل تكلفتها المنخفضة وسهولة إنشائها، أصبحت حلاً ملائمًا لتوجيه المستخدمين إلى روابط معقدة وطويلة. على الرغم من بداياتها البطيئة، شهدت أكواد الاستجابة السريعة انتشارًا واسعًا في مجالات متعددة من الإعلانات إلى قوائم المطاعم.
مع ذلك، أدى انتشار أكواد الاستجابة السريعة الاحتيالية إلى زيادة كبيرة في الهجمات السيبرانية، حيث ارتفعت هذه الهجمات بنسبة 51% في سبتمبر 2023. فكيف يستفيد الهاكرز من أكواد الاستجابة السريعة في شن هجمات احتيالية، وما الذي يترتب عليها، وما هي أفضل الممارسات للحماية؟
التصيد الاحتيالي باستخدام أكواد الاستجابة السريعة
تعرف عمليات الاحتيال باستخدام أكواد الاستجابة السريعة باسم “كويشينغ” (Quishing)، وهو مصطلح يجمع بين “التصيد” (Phishing) و”كيو آر” (QR). تتضمن هذه الهجمات عرض برامج وروابط ضارة على شكل أكواد استجابة سريعة لإعادة توجيه الضحايا إلى مواقع ويب احتيالية. تُوزع هذه الأكواد الخبيثة بطرق متعددة، مثل الملصقات في الأماكن العامة، البريد العادي، رسائل البريد الإلكتروني، وحتى الملصقات الموضوعة فوق الأكواد الأصلية في المطاعم.
كيف يمكن أن تكلف هجمات كويشينغ آلاف الدولارات؟
تعتبر هجمات كويشينغ خطيرة للغاية لأن العديد من الأشخاص لا يأخذون الحيطة الكافية عند مسح أكواد الاستجابة السريعة. يقوم الهاكرز باستبدال الأكواد الأصلية بأخرى مزيفة، مما يوجه الضحية إلى مواقع ويب احتيالية تطلب منهم تقديم معلومات شخصية ومعلومات الدفع. وبمجرد حصول الهاكرز على هذه المعلومات، يمكنهم إجراء عمليات شراء باستخدام حسابات البنوك الخاصة بالضحايا.
أمثلة على هجمات أكواد الاستجابة السريعة
- تسجيل الدخول باستخدام أكواد الاستجابة السريعة: تقدم العديد من التطبيقات والبرامج مثل واتساب طريقة تسجيل دخول بديلة باستخدام أكواد الاستجابة السريعة. يستغل الهاكرز ذلك عبر إرسال أكواد مزيفة عبر البريد الإلكتروني، مما يوجه الضحايا إلى مواقع احتيالية تطلب منهم إعادة إدخال بيانات اعتمادهم.
- أكواد “كيو آر” المادية: تتضمن هذه الطريقة وضع أكواد كيو آر على نشرات إعلانية أو ملصقات مثل بطاقات الهدايا أو قوائم الطعام. عادة ما تقود هذه الهجمات الضحايا إلى مواقع ضارة أو تقوم بتنزيل تطبيقات خبيثة على الهواتف.
يستخدم الهاكرز هذه الأساليب لإجراء هجمات ناجحة قد تكلف الضحايا آلاف الدولارات. على سبيل المثال، بحسب قناة “آي تي في” (ITV)، خسر شخص 13 ألف جنيه إسترليني (ما يعادل 16500 دولار) بعد مسح كود كيو آر مزيف على آلة وقوف السيارات.
الحماية من هجمات كويشينغ
للحماية من هذه الهجمات، يجب على المستخدمين توخي الحذر عند مسح أكواد الاستجابة السريعة والتأكد من مصدرها. يُنصح بفحص الروابط قبل فتحها وعدم إدخال معلومات شخصية في مواقع غير موثوقة. قد يكون من الحكمة استخدام تطبيقات أمان تتحقق من صحة أكواد الاستجابة السريعة قبل مسحها.
هجمات التصيد عبر رموز الاستجابة السريعة عبر البريد الإلكتروني
يقوم القراصنة بإرسال رسائل بريد إلكتروني تحتوي على رموز “كيو آر”، محاولين إقناع المستخدمين بمسحها. قد يتظاهرون بأن الرمز ضروري لتنزيل تطبيق مهم أو يزعمون أنهم جهات إنفاذ قانون يطلبون الدفع. بمجرد أن يقوم الضحية بمسح الرمز، يتم تحويله إلى موقع ويب أو تطبيق مزيف يطلب معلومات البطاقة الائتمانية.
أفاد بحث من “إتش بي ثريد ريسيرتش” (HP Threat Research) بأن هذا النوع من الهجمات شهد زيادة ملحوظة في الصين عام 2022 من خلال رسائل بريد إلكتروني تدعي أن المستلم يحق له الحصول على منحة حكومية. تطلب هذه الرسائل من المستخدمين تقديم معلومات بطاقاتهم الائتمانية الكاملة، بما في ذلك تفاصيل الرصيد الحالي.
مولدات رموز الاستجابة السريعة المزيفة لسرقة العملات المشفرة
في حالات أخرى، يقوم القراصنة بإنشاء مولدات رموز “كيو آر” مزيفة لخداع الناس. يحدث هذا عندما يستخدم الأفراد رموز “كيو آر” لطلب المدفوعات، حيث يمكن للمحتالين التسلل إلى حساباتهم بدلاً من المولدات الأصلية.
ذكر موقع “بت ديفيندر” (BitDefender) المتخصص بالأمن السيبراني مثالاً، حيث أنشأت العديد من مواقع الويب مولدات كيو آر مزيفة لمحافظ بيتكوين. تطلب هذه المواقع من المستخدمين إدخال عنوان المحفظة وتعد بإنشاء رمز الاستجابة السريعة ليتمكن المستفيدون من مسحه واستخدامه بسهولة. لكن الرمز يؤدي فعليًا إلى محفظة بيتكوين خاصة بالهاكر.
الحماية من هجمات التصيد عبر رموز الاستجابة السريعة
قد يكون من الصعب اكتشاف هجمات التصيد باستخدام رموز “كيو آر”، لكن يمكن الوقاية منها باتباع بعض الاستراتيجيات:
- التحقق من مصدر رمز الاستجابة السريع: يجب الحذر عند مسح رموز “كيو آر”، خاصة من مصادر غير معروفة أو تلك التي تعد بعروض مغرية بشكل غير معقول. إذا كان الرمز من مصدر رسمي أو من صديق، يجب التحقق من صحته مباشرة معه.
- استخدام قارئ رمز الاستجابة السريعة الموثوق: على الرغم من أن معظم الهواتف الذكية تتيح مسح رموز “كيو آر”، إلا أنه يجب اختيار تطبيق موثوق إذا كنت تستخدم تطبيقًا تابعًا لجهة خارجية.
- الحذر فيما يتعلق بالمعلومات الشخصية: بعد مسح رمز “كيو آر”، يجب أن تكون حذرًا عند طلب إدخال معلومات شخصية في الصفحة المرتبطة بالرمز. تحقق دائمًا من الرابط الكامل للموقع الموجه إليه.
- استخدام ماسحات رمز الاستجابة السريعة المزودة بميزات الأمان: بعض الماسحات الضوئية تحذر من الأكواد الضارة إذا كانت تحتوي عليها، مثل تلك الخاصة بشركة كاسبر سكاي.
- الانتباه لرموز “كيو آر” غير المتوقعة: إذا رأيت رمز “كيو آر” في مكان غير متوقع، خاصة في الأماكن العامة، فلا تقم بمسحه.
