Απάτες με Κωδικούς QR (Quishing): Η Απειλή που Κρύβεται στα Μάτια μας

Οι απάτες με κωδικούς QR, που αποκαλούνται quishing, αυξάνονται απότομα το 2026. Μάθετε πώς οι ψεύτικοι κωδικοί QR κλέβουν χρήματα και δεδομένα, πού τους τοποθετούν οι απατεώνες και πώς να σαρώνετε με ασφάλεια πριν πατήσετε.

· Truvizy Research Team · 8 min read

TL;DR

Το quishing είναι phishing μέσω κωδικών QR: οι απατεώνες αντικαθιστούν νόμιμους κωδικούς QR σε μενού εστιατορίων, παρκόμετρα, ετικέτες δεμάτων και δημόσιες αφίσες με κωδικούς που ανακατευθύνουν σε ιστοσελίδες κλοπής διαπιστευτηρίων. Επειδή η κάμερα του τηλεφώνου σας εμφανίζει μόνο μια μικρή προεπισκόπηση URL πριν ανοίξετε τη σύνδεση, οι περισσότεροι θύματα δεν παρατηρούν ποτέ την αντικατάσταση. Ελέγχετε πάντα την URL προορισμού πριν ανοίξετε οποιονδήποτε σύνδεσμο QR, χρησιμοποιήστε σαρωτή QR με ενσωματωμένους ελέγχους ασφαλείας και, αν αμφιβάλλετε, πληκτρολογήστε χειροκίνητα την επίσημη διεύθυνση ιστοσελίδας.

Σταθμεύετε σε ένα πάρκινγκ, σαρώνετε τον κωδικό QR στο παρκόμετρο και εισάγετε την πιστωτική σας κάρτα για να πληρώσετε τη θέση σας. Η συναλλαγή φαίνεται να ολοκληρώθηκε. Αργότερα το βράδυ, η τράπεζά σας σας τηλεφωνεί για τρεις δόλιες χρεώσεις από το εξωτερικό. Δεν δώσατε την κάρτα σας σε κανέναν. Δεν κάνατε κλικ σε κανένα ύποπτο email. Το μόνο που κάνατε ήταν να σαρώσετε έναν κωδικό QR, και αυτό ήταν αρκετό. Καλώς ήρθατε στο quishing: η απάτη με τον ταχύτερο ρυθμό ανάπτυξης που οι περισσότεροι άνθρωποι δεν έχουν ακούσει ποτέ.

Οι κωδικοί QR σχεδιάστηκαν για ευκολία, σαρώστε και πηγαίνετε. Αλλά αυτή η εμπειρία χωρίς τριβή που τους κάνει ελκυστικούς για τις επιχειρήσεις τους κάνει επίσης επικίνδυνους στα χέρια απατεώνων. Αντίθετα με έναν ύποπτο σύνδεσμο email που μπορείτε να τοποθετήσετε τον κέρσορα πάνω για προεπισκόπηση, ένας κωδικός QR δεν αποκαλύπτει τίποτα μέχρι αφού έχετε ήδη στοχεύσει την κάμερά σας σε αυτόν. Μέχρι να δείτε την URL προορισμού, πολλά θύματα έχουν ήδη πατήσει «άνοιγμα». Αυτό το κλάσμα του δευτερολέπτου είναι ακριβώς αυτό που εκμεταλλεύεται το quishing.

Τι Είναι το Quishing;

Το quishing, συνδυασμός των «QR» και «phishing», είναι η πρακτική ενσωμάτωσης κακόβουλων URL μέσα σε κωδικούς QR για να ανακατευθύνουν τα θύματα σε δόλιες ιστοσελίδες. Η απάτη μπορεί να λάβει αρκετές μορφές: φυσική αντικατάσταση νόμιμου κωδικού με ψεύτικο αυτοκόλλητο σε δημόσιους χώρους, αποστολή κωδικών QR μέσω email ή SMS που παρακάμπτουν τα παραδοσιακά φίλτρα ανεπιθύμητης αλληλογραφίας, ή δημιουργία ψεύτικων εγγράφων (τιμολόγια, ειδοποιήσεις στάθμευσης, ειδοποιήσεις δεμάτων) που περιλαμβάνουν εμφανώς δόλιους κωδικούς.

Το Κέντρο Καταγγελιών Εγκλημάτων Διαδικτύου του FBI χαρακτήρισε το quishing ως αναδυόμενη προτεραιότητα απειλής το 2024, και οι αριθμοί έχουν μόνο χειροτερέψει έκτοτε. Εταιρείες κυβερνοασφάλειας τεκμηρίωσαν αύξηση 587% σε επιθέσεις phishing βάσει κωδικών QR μεταξύ 2024 και 2025.

Το quishing αποτελεί μέρος μιας ευρύτερης στροφής στις τακτικές απάτης προς επιθέσεις mobile-first. Όπως τεκμηριώσαμε στην ανάλυσή μας για πώς η ΤΝ επιταχύνει την εξέλιξη της απάτης, οι απατεώνες στοχεύουν συγκεκριμένα τα εργαλεία και τις συνήθειες που έχουν υιοθετήσει οι άνθρωποι στην εποχή των smartphones.

Πώς Λειτουργούν οι Απάτες με Κωδικούς QR

Η μηχανική μιας επίθεσης quishing είναι απατηλά απλή. Ένας επιτιθέμενος δημιουργεί κωδικό QR που κωδικοποιεί μια κακόβουλη URL, συνήθως κλωνοποιημένη έκδοση σελίδας σύνδεσης τράπεζας, πύλης πληρωμής ή κρατικής υπηρεσίας. Η ψεύτικη σελίδα έχει σχεδιαστεί να φαίνεται πανομοιότυπη με τη νόμιμη, καταγράφοντας τυχόν διαπιστευτήρια ή πληροφορίες πληρωμής που εισάγει το θύμα.

Σε φυσικές επιθέσεις, ο απατεώνας εκτυπώνει τον δόλιο κωδικό σε αυτοκόλλητο και τον τοποθετεί πάνω από τον νόμιμο κωδικό σε παρκόμετρο, τραπεζάκι εστιατορίου ή δημόσιο πίνακα ανακοινώσεων. Η αλλαγή διαρκεί δευτερόλεπτα. Ο επιτιθέμενος μπορεί στη συνέχεια να απομακρυνθεί και να συλλέξει κλεμμένα δεδομένα εξ αποστάσεως. Ένα καλά τοποθετημένο αυτοκόλλητο σε ένα πολυσύχναστο παρκόμετρο μπορεί να καταγράψει δεκάδες θύματα ανά ημέρα.

Διάγραμμα που δείχνει πώς ένας απατεώνας αντικαθιστά νόμιμο αυτοκόλλητο κωδικού QR με δόλιο σε παρκόμετρο
Διάγραμμα που δείχνει πώς ένας απατεώνας αντικαθιστά νόμιμο αυτοκόλλητο κωδικού QR με δόλιο σε παρκόμετρο

Το quishing βάσει email ακολουθεί διαφορετικό παιχνίδι. Οι επιτιθέμενοι στέλνουν μηνύματα που υποδύονται τράπεζες, τμήματα HR ή μεταφορείς δεμάτων, ισχυριζόμενοι ότι ο παραλήπτης πρέπει να επαληθεύσει τον λογαριασμό του ή να παρακολουθήσει μια παράδοση, και συμπεριλαμβάνουν κωδικό QR για «σάρωση με το τηλέφωνό σας για πρόσθετη ασφάλεια». Αυτή η εντολή είναι σκόπιμη: η μετακίνηση της αλληλεπίδρασης σε κινητή συσκευή απομακρύνει το θύμα από τον εταιρικό υπολογιστή με τα εργαλεία ασφαλείας του.

Μόλις στην ψεύτικη σελίδα, το θύμα αντιμετωπίζει μια σελιδωμένη φόρμα συλλογής διαπιστευτηρίων. Πιο εξελιγμένες επιθέσεις χρησιμοποιούν τεχνικές relay σε πραγματικό χρόνο: καθώς το θύμα εισάγει το όνομα χρήστη και τον κωδικό του, ο επιτιθέμενος τα εισάγει στην πραγματική ιστοσελίδα ταυτόχρονα, στη συνέχεια αναμεταδίδει την προτροπή ελέγχου ταυτότητας δύο παραγόντων πίσω στο θύμα, παρακάμπτοντας πλήρως τις προστασίες 2FA.

Δεν είστε σίγουροι για σύνδεσμο από κωδικό QR; Επικολλήστε την URL στο Truvizy για να ελέγξετε ύπαρξη phishing πριν εισαγάγετε οποιαδήποτε πληροφορία.

Πού Εμφανίζονται οι Ψεύτικοι Κωδικοί QR

Παρκόμετρα και τερματικά πληρωμής είναι μεταξύ των πιο στοχευόμενων τοποθεσιών στις ΗΠΑ. Η Υπηρεσία Μεταφορών του Τέξας τεκμηρίωσε δεκάδες ψεύτικα αυτοκόλλητα κωδικών QR σε παρκόμετρα μεγάλων πόλεων το 2024. Τα θύματα εισήγαγαν πλήρη στοιχεία πιστωτικής κάρτας πιστεύοντας ότι πληρώνουν για στάθμευση.

Τραπεζάκια εστιατορίων και μενού έγιναν σημαντικό διάνυσμα καθώς εξαπλώθηκε η επαφή-free γαστρονομία μετά την πανδημία. Ένα αυτοκόλλητο με δόλιο κωδικό QR τοποθετημένο πάνω ή δίπλα σε νόμιμο μπορεί να ανακατευθύνει τους πελάτες σε ψεύτικο μενού ή σελίδα πληρωμής.

Δημόσιες συγκοινωνίες και στάσεις λεωφορείων ενέχουν σημαντικό κίνδυνο γιατί η σήμανση διαχειρίζεται από δήμους με περιορισμένη ικανότητα παρακολούθησης. Δόλιοι κωδικοί σε χάρτες συγκοινωνιών, περίπτερα έκδοσης εισιτηρίων ή οθόνες πληρωμής εισιτηρίων μπορούν να παραμείνουν απαρατήρητοι για μέρες.

Ψεύτικα φυλλάδια φιλανθρωπικών οργανώσεων και εράνων εκμεταλλεύονται τη γενναιοδωρία. Μετά από φυσικές καταστροφές ή σημαντικά νέα, δόλια φυλλάδια με κωδικούς QR δωρεών εμφανίζονται σε κοινοτικούς πίνακες, σούπερ μάρκετ και μέσα κοινωνικής δικτύωσης.

Γιατί οι Απάτες QR Είναι Τόσο Αποτελεσματικές

Η αποτελεσματικότητα του quishing πηγάζει από μια θεμελιώδη αναντιστοιχία εμπιστοσύνης. Οι κωδικοί QR συνδέονται με ευκολία και μοντερνισμό, τοποθετούνται από νόμιμες επιχειρήσεις σε επίσημα υλικά. Οι άνθρωποι έχουν εκπαιδευτεί μέσα από χρόνια χρήσης να εμπιστεύονται το φυσικό πλαίσιο ενός κωδικού QR περισσότερο από ό,τι έναν τυχαίο σύνδεσμο email.

Οι εφαρμογές κάμερας παρέχουν ελάχιστη τριβή. Τα περισσότερα smartphones αναγνωρίζουν αυτόματα τους κωδικούς QR και εμφανίζουν μια μικρή προεπισκόπηση URL που οι χρήστες αγνοούν ενστικτωδώς χωρίς να την διαβάσουν. Το παράθυρο προεπισκόπησης είναι μικρό, η URL είναι συχνά μεγάλη ή συντομευμένη.

Φθάνετε σε παρκόμετρο και σαρώνετε τον κωδικό QR. Η κάμερα του τηλεφώνου σας εμφανίζει URL προεπισκόπησης: 'parking-pay-secure-city.com/pay'. Το παρκόμετρο βρίσκεται σε μεγάλη αμερικανική πόλη. Τι κάνετε;

  1. Ανοίξτε τον σύνδεσμο αμέσως, αναφέρει την πόλη άρα πρέπει να είναι νόμιμος
  2. Ελέγξτε προσεκτικά την URL: ταιριάζει με τον επίσημο τομέα στάθμευσης της πόλης σας;
  3. Χρησιμοποιήστε τη φυσική υποδοχή κάρτας στο παρκόμετρο
  4. Αγνοήστε την URL και συνεχίστε, φαίνεται αρκετά αξιόπιστη

Answer: Γενικόφωνοι τομείς όπως το 'parking-pay-secure-city.com' είναι σημαντική κόκκινη σημαία. Το επίσημο σύστημα στάθμευσης της πόλης σας θα έχει συγκεκριμένο, γνωστό τομέα. Πάντα επαληθεύστε ότι η URL προορισμού ταιριάζει με τον αναμενόμενο επίσημο τομέα πριν εισαγάγετε οποιαδήποτε πληροφορία πληρωμής.

Το mobile πλαίσιο επίσης αφαιρεί πολλά από τα εργαλεία ασφαλείας που έχουν οι άνθρωποι σε desktop υπολογιστές. Η εταιρική προστασία τερματικού, οι επεκτάσεις browser που επισημαίνουν ιστοσελίδες phishing και η συνήθεια τοποθέτησης κέρσορα πάνω από συνδέσμους δεν μεταφράζονται στο κινητό.

Πώς να Εντοπίσετε Ψεύτικο Κωδικό QR

Εξετάστε τον κωδικό φυσικά. Αναζητήστε αυτοκόλλητα τοποθετημένα πάνω σε έντυπα υλικά. Τα ψεύτικα αυτοκόλλητα συχνά έχουν ελαφρώς διαφορετικό χαρτί, ελαφρά αναντιστοιχία με τα γύρω στοιχεία σχεδιασμού ή ορατές άκρες. Τρίψτε το νύχι σας κατά μήκος της επιφάνειας, ένα επίστρωμα αυτοκόλλητο θα έχει συνήθως μια λεπτή ανυψωμένη άκρη.

Διαβάστε την πλήρη URL πριν πατήσετε. Αφού η κάμερά σας σαρώσει κωδικό, εμφανίζεται ειδοποίηση ή banner προεπισκόπησης. Σταματήστε πριν πατήσετε και διαβάστε την πλήρη URL. Αναζητήστε: το αναμενόμενο εμπορικό όνομα στον τομέα, νόμιμο τομέα ανώτατου επιπέδου (.com,.gov,.org) και απουσία επιπλέον λέξεων όπως «secure», «login», «verify» ή «payment».

Να είστε επιφυλακτικοί με το επείγον. Κωδικοί που συνοδεύονται από γλώσσα όπως «Σαρώστε αμέσως», «Περιορισμένη προσφορά» ή «Απαιτείται για πρόσβαση» έχουν σχεδιαστεί για να σας κάνουν να ενεργείτε πριν σκεφτείτε.

Παραπέμψτε σε επίσημα κανάλια. Πριν σαρώσετε κωδικό QR από email ή έγγραφο που ισχυρίζεται ότι προέρχεται από την τράπεζά σας, το τμήμα HR ή μεταφορέα, επικοινωνήστε απευθείας με τον οργανισμό μέσω της επίσημης ιστοσελίδας ή εφαρμογής του. Μη χρησιμοποιείτε ποτέ στοιχεία επικοινωνίας που παρέχονται στο ίδιο μήνυμα που περιέχει τον κωδικό QR. Για την αξιολόγηση ύποπτων συνδέσμων, το εργαλείο σάρωσης του Truvizy μπορεί να σας βοηθήσει να αξιολογήσετε τον κίνδυνο.

Χρησιμοποιήστε εναλλακτική μέθοδο όταν είναι διαθέσιμη. Αν ο κωδικός QR είναι η μόνη επιλογή πληρωμής, εξετάστε τη χρήση φυσικής υποδοχής κάρτας, πληρωμή μέσω επίσημης εφαρμογής ή εύρεση άλλης μεθόδου. Η ευκολία δεν πρέπει ποτέ να υπερισχύει της ασφάλειας.

Λίστα ελέγχου για ασφαλή σάρωση κωδικών QR, επαλήθευση URL, επιθεώρηση φυσικού κωδικού, χρήση επίσημων εφαρμογών
Λίστα ελέγχου για ασφαλή σάρωση κωδικών QR, επαλήθευση URL, επιθεώρηση φυσικού κωδικού, χρήση επίσημων εφαρμογών

Τι να Κάνετε αν Πέσατε Θύμα Απάτης

Αν σαρώσατε κωδικό, ανοίξατε τον σύνδεσμο και εισαγάγατε πληροφορίες, ενεργήστε γρήγορα. Κάθε λεπτό καθυστέρησης δίνει στον επιτιθέμενο περισσότερο χρόνο να χρησιμοποιήσει τα δεδομένα σας.

Αν εισαγάγατε στοιχεία κάρτας πληρωμής: Καλέστε αμέσως τη γραμμή απάτης της τράπεζάς σας (χρησιμοποιήστε τον αριθμό στην πίσω πλευρά της κάρτας σας). Ζητήστε πάγωμα ή αντικατάσταση κάρτας.

Αν εισαγάγατε διαπιστευτήρια σύνδεσης: Αλλάξτε αμέσως τον κωδικό σας από ξεχωριστή, αξιόπιστη συσκευή. Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων αν δεν είναι ήδη ενεργός. Ελέγξτε για τυχόν άγνωστες συσκευές ή συνεδρίες.

Τοποθετήστε ειδοποίηση απάτης στο πιστωτικό σας αρχείο σε ένα από τα τρία μεγάλα γραφεία (Equifax, Experian, TransUnion), αυτό ειδοποιεί αυτόματα τα άλλα δύο. Ο πλήρης οδηγός μας για πρόληψη κλοπής ταυτότητας καλύπτει λεπτομερώς τη διαδικασία ανάκτησης.

Προστατευτείτε από απάτες κωδικών QR και άλλες απειλές για κινητά με ανίχνευση απάτης βασισμένη στην ΤΝ.

Πώς να Προστατευτείτε στο Εξής

Η πιο σημαντική συνήθεια είναι παύση πριν πατήσετε. Ο σχεδιασμός του quishing βασίζεται στο γεγονός ότι η σάρωση QR αισθάνεται αυτόματη και στιγμιαία. Σπάστε αυτή την αυτόματη απόκριση, ακόμα και για δύο δευτερόλεπτα για να διαβάσετε την URL, διακόπτει την επίθεση. Κάντε το κανόνα: πρώτα URL προεπισκόπηση, μετά άνοιγμα.

Χρησιμοποιήστε αποκλειστική εφαρμογή σαρωτή QR που εκτελεί ελέγχους ασφαλείας σε πραγματικό χρόνο στην αποκωδικοποιημένη URL πριν σας την παρουσιάσει. Αυτές οι εφαρμογές είναι διαθέσιμες δωρεάν από μεγάλους προμηθευτές ασφαλείας.

Διατηρήστε ενημερωμένα το λειτουργικό σύστημα και τον browser του τηλεφώνου σας. Οι ενημερώσεις ασφαλείας συχνά κλείνουν ευπάθειες που εκμεταλλεύονται οι επιθέσεις drive-by download όταν επισκέπτεστε κακόβουλη ιστοσελίδα.

Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων χρησιμοποιώντας εφαρμογή αυθεντικοποίησης, όχι SMS. Όπως αναφέρουμε στον οδηγό μας για απάτες smishing, το 2FA βάσει SMS μπορεί να υποκλαπεί. Μια εφαρμογή αυθεντικοποίησης δημιουργεί κωδικούς τοπικά στη συσκευή σας.

Αναφέρετε ύποπτους κωδικούς όπου τους βρίσκετε. Αν εντοπίσετε αυτοκόλλητο που φαίνεται ύποπτο σε δημόσιο κωδικό QR, φωτογραφίστε την τοποθεσία και αναφέρτε το στην επιχείρηση ή τις τοπικές αρχές.

Key Takeaways

Οι κωδικοί QR δεν πρόκειται να εξαφανιστούν, ούτε και οι απατεώνες που τους εκμεταλλεύονται. Καθώς οι επαφή-free πληρωμές, τα ψηφιακά μενού και οι υπηρεσίες mobile-first γίνονται πιο ενσωματωμένες στην καθημερινή ζωή, το quishing θα γίνεται πιο εξελιγμένο και πιο διαδεδομένο. Το αντίδοτο είναι η ευαισθητοποίηση.

Τα προγράμματα προστασίας του Truvizy περιλαμβάνουν εργαλεία ανάλυσης ύποπτων URL και συνδέσμων, επικολλήστε μια URL αποκωδικοποιημένη από οποιονδήποτε κωδικό QR στο Truvizy πριν την ανοίξετε και λάβετε αξιολόγηση νομιμότητας βασισμένη στην ΤΝ.

Smishing: Γιατί Αυτό το Μήνυμα από την Τράπεζά σας Είναι Πιθανώς Απάτη — Phishing βάσει SMS που μοιράζεται το ίδιο ψυχολογικό παιχνίδι με το quishing.

Ανίχνευση Email Phishing — Πώς να εντοπίσετε επιθέσεις βάσει email, συμπεριλαμβανομένων εκείνων που χρησιμοποιούν κωδικούς QR για να παρακάμψουν φίλτρα.

Επιθέσεις Κοινωνικής Μηχανικής — Οι τεχνικές ψυχολογικής χειραγώγησης πίσω από το quishing και όλες τις σύγχρονες απάτες.

FAQ

Τι είναι το quishing;

Το quishing είναι phishing μέσω κωδικού QR, μια απάτη όπου οι επιτιθέμενοι αντικαθιστούν ή δημιουργούν ψεύτικους κωδικούς QR που ανακατευθύνουν τα θύματα σε κακόβουλες ιστοσελίδες σχεδιασμένες να κλέβουν διαπιστευτήρια σύνδεσης, πληροφορίες πληρωμής ή να εγκαθιστούν κακόβουλο λογισμικό στη συσκευή τους.

Πώς μπορώ να καταλάβω αν ένας κωδικός QR είναι ψεύτικος πριν τον σαρώσω;

Εξετάστε τον κωδικό φυσικά: αναζητήστε αυτοκόλλητα που έχουν τοποθετηθεί πάνω από τον αρχικό κωδικό, ζημιά στο περιβάλλον υλικό ή κωδικούς που φαίνονται ελαφρώς διαφορετικοί από τους κοντινούς. Μετά τη σάρωση, ελέγξτε πάντα την πλήρη URL προορισμού στην προεπισκόπηση της εφαρμογής κάμερας πριν πατήσετε «άνοιγμα». Αν η URL δεν ταιριάζει ακριβώς με τον αναμενόμενο τομέα της επιχείρησης, μην συνεχίσετε.

Μπορεί η σάρωση κωδικού QR να εγκαταστήσει κακόβουλο λογισμικό στο τηλέφωνό μου;

Η απλή σάρωση κωδικού QR με την κάμερα δεν εγκαθιστά κακόβουλο λογισμικό, αλλά το άνοιγμα του αποτελέσματος μπορεί. Κρατήστε το λειτουργικό σύστημα του τηλεφώνου σας ενημερωμένο, αποφύγετε να επιτρέψετε εγκατάσταση εφαρμογών από άγνωστες πηγές και χρησιμοποιήστε σαρωτή QR με ενσωματωμένο έλεγχο ασφαλείας URL.

Ποιες τοποθεσίες έχουν τον υψηλότερο κίνδυνο ψεύτικων κωδικών QR;

Τοποθεσίες υψηλού κινδύνου περιλαμβάνουν παρκόμετρα, τραπέζια και μενού εστιατορίων, στάσεις δημόσιων συγκοινωνιών, ετικέτες επιστροφής δεμάτων, λόμπι ξενοδοχείων και φυλλάδια αναρτημένα σε κοινόχρηστους χώρους.

Τι πρέπει να κάνω αν σάρωσα ήδη και εισήγαγα πληροφορίες σε ύποπτη ιστοσελίδα;

Ενεργήστε αμέσως: αλλάξτε τυχόν κωδικούς που εισαγάγατε, επικοινωνήστε με την τράπεζά σας αν δώσατε στοιχεία πληρωμής, ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων στους επηρεασμένους λογαριασμούς και παρακολουθήστε την πιστωτική σας αναφορά.