"Quishing".. تهديد جديد يلاحقك عند مسح رموز QR

في ظل التقدم التكنولوجي المتسارع الذي نشهده في عصرنا الرقمي، أصبحت رموز الاستجابة السريعة (QR Codes) جزءًا أساسيًا من حياتنا اليومية، يستخدمها الناس لتسريع الوصول إلى المعلومات والخدمات في مختلف المجالات مثل الدفع الإلكتروني، ومعاملات المواقف، والتسوق الإلكتروني، وغيرها. 

لكن مع هذا الانتشار الواسع، أصبح هذا النوع من الرموز هدفًا جديدًا للمجرمين الإلكترونيين، الذين استغلوا هذا التطور لتنفيذ هجمات احتيالية معقدة وخبيثة، أحدها هو تهديد "Quishing".

ما هو تهديد "Quishing"؟

"Quishing" هو نوع متطور من الاحتيال الرقمي الذي يعتمد على رموز الاستجابة السريعة (QR) في تنفيذ هجمات التصيد (Phishing). 

في هذا النوع من الهجوم، يستخدم المهاجمون رموز QR المزيفة لتمرير الضحايا إلى مواقع ويب أو تطبيقات مزيفة تهدف إلى سرقة بيانات حساسة مثل كلمات المرور، البيانات المالية، وأرقام التعريف الشخصية (PII)، مثل البريد الإلكتروني والعنوان وأرقام الهواتف. 

قد يؤدي هذا الهجوم أيضًا إلى تثبيت برامج ضارة على جهاز الضحية، وفي حالات متقدمة قد تستهدف هذه الهجمات سرقة رموز المصادقة الثنائية التي يتم إرسالها إلى الهاتف.

كيف يتم تنفيذ هجوم "Quishing"؟

يبدأ الهجوم عادة برسالة بريد إلكتروني تبدو وكأنها صادرة من مصدر موثوق، مثل بنك أو مؤسسة تجارية. هذه الرسائل تحتوي على رمز QR يُفترض أن يوجه الضحية إلى موقع لتحديث بيانات الحساب أو تأكيد هويته، يتم تشجيع الضحية على مسح الرمز، وعندها يتم توجيههم إلى موقع مزيف أو تطبيق غير آمن يقوم بسرقة بياناتهم الشخصية أو المالية.

ما يجعل هذا النوع من الهجوم خطيرًا هو أنه يتجاوز وسائل الدفاع التقليدية مثل أنظمة الحماية من البريد الإلكتروني الاحتيالي، التي تعتقد أن الرموز هي مجرد صور غير ضارة، كما أن المستخدمين غالبًا ما يكونون أكثر عرضة للتأثر بهذا النوع من الاحتيال، حيث أصبح مسح الرموز أمرًا مألوفًا وسهلًا بالنسبة لهم.

ما الذي يجعل "Quishing" خطيرًا؟
من خلال تحليل هذا النوع من الهجمات، نلاحظ أنه يعتمد على سهولة التنفيذ، وقلة وعي الضحايا بالتهديدات المحتملة. يمكن لأي شخص أن ينشئ رمز QR مزيف باستخدام أدوات مجانية عبر الإنترنت، ومن ثم يمكن استخدامه لنقل الضحية إلى موقع ويب مزيف يطلب إدخال بيانات حساسة أو يسمح بتنزيل تطبيق ضار. 

وتستفيد هذه الهجمات من ميل الناس للثقة في رموز QR دون التفكير في التحقق من مصدرها أو ملاحظة أي علامات تدل على التلاعب.

علاوة على ذلك، أصبحت تقنيات الذكاء الاصطناعي (AI) تسهل للمهاجمين عملية صياغة رسائل احتيالية عالية الجودة وخالية من الأخطاء، مما يزيد من صعوبة اكتشافها، كما أن الرسائل الاحتيالية يمكن أن تُرسل بكميات كبيرة وبسرعة كبيرة باستخدام الأدوات الرقمية المتاحة.

كيف نحمي أنفسنا من هذا التهديد؟
نظرًا لخطورة هذا النوع من الهجمات، يُنصح باتباع مجموعة من الإرشادات لحماية أنفسنا من الوقوع ضحايا لهجوم "Quishing":

تحقق من المصدر: دائمًا تحقق من مصدر الرسائل التي تحتوي على رموز QR. لا تقم بمسح أي رمز QR من مصدر غير موثوق أو غير معروف.

ابحث عن علامات التلاعب: عند مسح رمز QR في الأماكن العامة، تأكد من عدم وجود أي ملصقات مزيفة تغطي الرموز الأصلية. هذه العلامات قد تكون مؤشرات على محاولة تلاعب.

لا تمنح الأذونات تلقائيًا: إذا طلب منك أي تطبيق فتحته بعد مسح رمز QR الموافقة على أذونات غير ضرورية، فلا توافق عليها وتجنب متابعة العملية.

تحقق من عنوان URL: بعد مسح الرمز، تحقق دائمًا من عنوان URL الذي يظهر، وإذا كان يحتوي على أخطاء إملائية أو يبدو غريبًا، تجنب الدخول عليه.

كن حذرًا في الأماكن العامة: في الأماكن العامة مثل المواقف أو المطاعم، كن حذرًا عند مسح الرموز التي قد تكون مزيفة أو موجهة لأغراض خبيثة.

إيقاف خاصية NFC: ينصح بإيقاف تشغيل خاصية NFC في هاتفك في الأماكن العامة لمنع مشاركة بيانات غير مرغوب فيها مع أجهزة أخرى دون موافقتك.