کلاهبرداری‌های کد QR (کویشینگ): تهدیدی که آشکارا پنهان است

کلاهبرداری‌های کد QR, که کویشینگ نامیده می‌شوند, در سال ۲۰۲۶ در حال افزایش هستند. بیاموزید کدهای QR جعلی چطور پول و داده‌هایتان را می‌دزدند، کلاهبرداران آنها را کجا قرار می‌دهند و چطور قبل از لمس کردن با امنیت اسکن کنید.

· Truvizy Research Team · 8 min read

TL;DR

کویشینگ فیشینگ از طریق کد QR است: کلاهبرداران کدهای QR قانونی را در منوهای رستوران، پارکومترها، برچسب‌های پارسل و پوسترهای عمومی با کدهایی جایگزین می‌کنند که به وب‌سایت‌های دزد اطلاعات هدایت می‌کنند. از آنجایی که دوربین تلفنتان فقط یک URL کوچک قبل از باز کردن نشان می‌دهد، اکثر مردم هرگز جابه‌جایی را متوجه نمی‌شوند. همیشه URL مقصد را قبل از باز کردن هر لینک کد QR بررسی کنید، از یک اسکنر QR با بررسی ایمنی داخلی استفاده کنید و در صورت تردید آدرس وب رسمی را دستی تایپ کنید.

وارد یک پارکینگ می‌شوید، کد QR کیوسک پرداخت را اسکن می‌کنید و کارت اعتباری‌تان را برای پرداخت جای پارک وارد می‌کنید. تراکنش به نظر انجام می‌شود. آن شب بانکتان درباره سه اتهام تقلبی از خارج از کشور تماس می‌گیرد. کارتتان را به هیچ کسی ندادید. روی هیچ ایمیل مشکوکی کلیک نکردید. تنها کاری که کردید اسکن یک کد QR بود, و همین کافی بود. به کویشینگ خوش آمدید: سریع‌ترین کلاهبرداری رو به رشد که اکثر مردم هرگز درباره‌اش نشنیده‌اند.

کدهای QR برای راحتی طراحی شدند, اسکن کن و برو. اما همان تجربه بدون اصطکاک که آنها را برای کسب‌وکارها جذاب می‌کند، در دست کلاهبرداران خطرناکشان می‌کند. برخلاف یک لینک ایمیل مشکوک که می‌توانید روی آن نگه دارید تا پیش‌نمایش بگیرید، یک کد QR تا زمانی که دوربینتان را به سمتش نگرفته‌اید هیچ چیز نشان نمی‌دهد. تا زمانی که URL مقصد را می‌بینید، بسیاری از قربانیان قبلاً «باز کن» را لمس کرده‌اند. این شکاف لحظه‌ای دقیقاً همان چیزی است که کویشینگ استثمار می‌کند.

کویشینگ چیست؟

کویشینگ, ترکیبی از «QR» و «phishing», عمل جاسازی URL های مخرب داخل کدهای QR برای هدایت قربانیان به وب‌سایت‌های تقلبی است. کلاهبرداری می‌تواند اشکال مختلفی داشته باشد: جایگزینی فیزیکی یک کد قانونی با یک برچسب جعلی در فضاهای عمومی، ارسال کدهای QR از طریق ایمیل یا پیامک که فیلترهای اسپم سنتی را دور می‌زنند، یا ایجاد اسناد جعلی (فاکتورها، اخطارهای پارکینگ، اعلان‌های پارسل) که کدهای تقلبی را به برجستگی نشان می‌دهند.

مرکز شکایات جرایم اینترنتی FBI در سال ۲۰۲۴ کویشینگ را یک تهدید اولویت‌دار نوظهور اعلام کرد و اعداد از آن زمان فقط بدتر شده‌اند. شرکت‌های امنیت سایبری افزایش ۵۸۷ درصدی در حملات فیشینگ مبتنی بر کد QR بین ۲۰۲۴ و ۲۰۲۵ را مستند کردند. این تکنیک با حلقه‌های تقلب سازمان‌یافته محبوب شده چون اجرایش ارزان است، در مقیاس بزرگ سخت تشخیص داده می‌شود و به‌طور خاص برای دور زدن ابزارهای امنیتی ایمیل که نمی‌توانند URL های جاسازی‌شده در تصویر را بخوانند مهندسی شده.

کویشینگ بخشی از تحول گسترده‌تری در تاکتیک‌های کلاهبرداری به سمت حملات اول-موبایل است. همان‌طور که در تحلیل‌مان از چطور هوش مصنوعی پیچیدگی کلاهبرداری را تسریع می‌کند مستند کردیم، متقلبان به‌طور خاص ابزارها و عاداتی را هدف قرار می‌دهند که مردم در دوران گوشی هوشمند اتخاذ کرده‌اند, و کدهای QR یکی از عادات موبایلی گسترده‌تر پنج سال گذشته هستند.

کلاهبرداری‌های کد QR چطور کار می‌کنند

مکانیک یک حمله کویشینگ فریبنده ساده است. یک مهاجم کدی QR تولید می‌کند که یک URL مخرب را کد می‌کند, معمولاً یک نسخه کلون‌شده از یک صفحه ورود بانک، پورتال پرداخت یا سرویس دولتی. صفحه جعلی طوری طراحی شده که با صفحه قانونی یکسان به نظر برسد و هر اطلاعات ورود یا پرداختی که قربانی وارد می‌کند را ضبط کند.

در حملات فیزیکی، کلاهبردار کد تقلبی را روی یک برچسب چاپ می‌کند و آن را روی کد قانونی روی یک پارکومتر، میز رستوران یا تابلوی اعلانات عمومی می‌گذارد. جابه‌جایی چند ثانیه طول می‌کشد. مهاجم سپس می‌تواند منطقه را ترک کند و داده‌های دزدیده‌شده را از راه دور جمع‌آوری کند. یک برچسب خوب جاگذاری‌شده روی یک پارکومتر شلوغ می‌تواند روزانه ده‌ها قربانی را به دام بیندازد.

نمودار نشان‌دهنده چطور یک کلاهبردار برچسب کد QR قانونی را با یک برچسب تقلبی روی پارکومتر جایگزین می‌کند
نمودار نشان‌دهنده چطور یک کلاهبردار برچسب کد QR قانونی را با یک برچسب تقلبی روی پارکومتر جایگزین می‌کند

کویشینگ ایمیلی از یک برنامه متفاوت پیروی می‌کند. مهاجمان پیام‌هایی ارسال می‌کنند که بانک‌ها، دپارتمان‌های HR یا شرکت‌های حمل‌ونقل بسته را جعل هویت می‌کنند و ادعا می‌کنند گیرنده باید حساب خود را تأیید کند یا یک تحویل را ردیابی کند, و کد QR را برای «اسکن با تلفنتان برای امنیت بیشتر» می‌گنجانند. این دستور عمدی است: انتقال تعامل به یک دستگاه موبایل قربانی را از رایانه شرکتی با ابزارهای امنیتی‌اش دور می‌کند و او را به تلفن شخصی با حفاظت کمتر می‌برد.

در صفحه جعلی، قربانی با یک فرم پالوده برای جمع‌آوری اطلاعات ورود روبه‌رو می‌شود. حملات پیشرفه‌تر از تکنیک‌های رله زمان واقعی استفاده می‌کنند: در حالی که قربانی نام کاربری و رمز عبورش را وارد می‌کند، مهاجم آن اطلاعات را به‌طور همزمان در سایت واقعی وارد می‌کند، سپس درخواست احراز هویت دو عاملی را به قربانی منتقل می‌کند, و به‌طور کامل حفاظت‌های ۲FA را دور می‌زند.

از لینکی از یک کد QR مطمئن نیستید؟ URL را در Truvizy وارد کنید تا قبل از وارد کردن هر اطلاعاتی آن را از نظر شاخص‌های فیشینگ بررسی کنید.

کدهای QR جعلی کجا ظاهر می‌شوند

پارکومترها و کیوسک‌های پرداخت از پرهدف‌ترین مکان‌ها در آمریکا هستند. اداره حمل‌ونقل تگزاس در سال ۲۰۲۴ ده‌ها برچسب کد QR جعلی روی پارکومترهای شهرهای بزرگ را مستند کرد. قربانیان انتظار داشتند پارکینگ پرداخت کنند اما اطلاعات کامل کارت اعتباری‌شان مستقیماً به کلاهبرداران داده شد. کلاهبرداری به‌خصوب خوب کار می‌کند چون پرداخت پارکینگ استرس‌زاست, رانندگان اغلب عجله دارند و رابط پرداخت را با دقت بررسی نمی‌کنند.

میزهای رستوران و منوها با گسترش رستوران‌های بدون تماس پس از همه‌گیری به یک بردار اصلی تبدیل شدند. یک برچسب با کد QR تقلبی که روی یا کنار یک کد قانونی قرار داده شده می‌تواند مشتریان را به یک منو یا صفحه پرداخت جعلی هدایت کند. در برخی موارد، صفحه جعلی حتی یک منوی قانع‌کننده نشان می‌دهد قبل از اینکه به فرم جمع‌آوری اطلاعات ورود هدایت کند که ادعا می‌کند رستوران به سفارش آنلاین تغییر کرده.

برچسب‌های برگشت پارسل یک دسته حمله با رشد سریع را نشان می‌دهند. قربانیان بسته‌هایی دریافت می‌کنند, گاهی اوقات ناخواسته، گاهی به عنوان بخشی از یک کمپین جایزه جعلی, که حاوی برچسب‌های برگشت با کدهای QR هستند. اسکن کردن کد قرار است یک برگشت را آغاز کند اما در عوض به یک پورتال تقلبی خرده‌فروش هدایت می‌کند که اطلاعات کارت اعتباری را برای «پردازش بازپرداخت» درخواست می‌کند.

حمل‌ونقل عمومی و ایستگاه‌های اتوبوس ریسک قابل توجهی دارند چون تابلوها توسط شهرداری‌هایی با ظرفیت نظارت محدود مدیریت می‌شوند. کدهای تقلبی روی نقشه‌های ترانزیت، کیوسک‌های فروش بلیت یا صفحه‌های پرداخت کرایه می‌توانند روزها پیش از حذف ناشناخته بمانند. در انگلستان، Transport for London در سال ۲۰۲۵ صدها کد QR تقلبی از ایستگاه‌ها حذف کرد.

حملات مبتنی بر ایمیل و سند به همان اندازه کسب‌وکارها را هدف قرار می‌دهند که مصرف‌کنندگان را. فاکتورهای جعلی حاوی کدهای QR برای «پرداخت امن»، اعلان‌های HR تقلبی که کارمندان را ملزم می‌کند کدی اسکن کنند تا اطلاعات حقوق را به‌روز کنند، و اعلان‌های جعلی تحویل بسته همه بردارهای حمله متداول سازمانی هستند. همان‌طور که در راهنمای ما درباره تشخیص ایمیل فیشینگ بحث شد، حملات ایمیلی در استفاده از عناصر بصری برای دور زدن فیلتر خودکار پیشرفته‌تر می‌شوند.

بروشورهای جعلی خیریه و جذب کمک مالی از سخاوت سوءاستفاده می‌کنند. بعد از بلایای طبیعی یا رویدادهای بزرگ خبری، بروشورهای تقلبی با کدهای QR کمک مالی روی تابلوهای اعلانات اجتماعی، سوپرمارکت‌ها و شبکه‌های اجتماعی ظاهر می‌شوند. کدها به صفحات پرداخت خیریه جعلی قانع‌کننده‌ای لینک می‌دهند که کمک‌ها و جزئیات کارت را بدون هیچ کمک واقعی ضبط می‌کنند.

چرا کلاهبرداری‌های QR اینقدر مؤثرند

اثربخشی کویشینگ از یک ناسازگاری اساسی اعتماد ناشی می‌شود. کدهای QR با راحتی و مدرنیته ارتباط دارند, توسط کسب‌وکارهای قانونی روی مواد رسمی قرار می‌گیرند. مردم از طریق سال‌ها استفاده آموخته‌اند بیشتر به زمینه فیزیکی یک کد QR اعتماد کنند تا یک لینک ایمیل تصادفی. یک کد روی میز رستوران یا یک پارکومتر تأییدیه ضمنی از خود مکان را دارد.

برنامه‌های دوربین اصطکاک حداقلی ایجاد می‌کنند. اکثر گوشی‌های هوشمند به‌طور خودکار کدهای QR را تشخیص می‌دهند و یک پیش‌نمایش کوچک URL نشان می‌دهند که کاربران غریزتاً بدون خواندن رد می‌کنند. پنجره پیش‌نمایش کوچک است، URL اغلب بلند یا کوتاه‌شده است، و تمایل طبیعی مغز به تطابق الگو یعنی کاربران مکرراً آنچه انتظار دارند را می‌بینند نه آنچه واقعاً آنجاست. یک URL مثل «secure-payment-parkingzone.com» برای یک کاربر حواس‌پرت به عنوان «پارکینگ» خوانده می‌شود حتی اگر برای یک کاربر دقیق خطر را نشان دهد.

به یک پارکومتر می‌رسید و کد QR را اسکن می‌کنید. دوربین تلفنتان URL پیش‌نمایش نشان می‌دهد: 'parking-pay-secure-city.com/pay'. پارکومتر در یک شهر بزرگ آمریکا است. چه باید بکنید؟

  1. لینک را فوراً باز کن, شهر را ذکر می‌کند پس باید قانونی باشد
  2. URL را با دقت بررسی کن: آیا با دامنه رسمی شهرت مطابقت دارد؟
  3. پیش‌نمایش را نادیده بگیر و ادامه بده چون پارکومترها همیشه امن هستند
  4. با خط مشتری که روی پارکومتر است تماس بگیر

Answer: دامنه‌هایی با صدای عمومی مثل 'parking-pay-secure-city.com' یک علامت هشدار اصلی هستند. سیستم پارکینگ رسمی شهرتان یک دامنه خاص و شناخته‌شده خواهد داشت (مثلاً paybyphone.com یا سایت.gov رسمی شهرتان). همیشه URL مقصد را تأیید کنید که با دامنه رسمی مورد انتظار مطابقت دارد قبل از وارد کردن هر اطلاعات پرداختی, یا از شیار کارت فیزیکی اگر موجود باشد استفاده کنید.

زمینه موبایل همچنین بسیاری از ابزارهای امنیتی که مردم روی رایانه‌های دسکتاپ دارند را از بین می‌برد. حفاظت endpoint شرکتی، افزونه‌های مرورگر که سایت‌های فیشینگ را علامت‌گذاری می‌کنند و عادت نگه داشتن روی لینک‌ها برای پیش‌نمایش به موبایل ترجمه نمی‌شوند. روی یک تلفن، کاربر تا حد زیادی به تنهایی است.

چطور یک کد QR جعلی را شناسایی کنید

کد را فیزیکی بررسی کنید. به دنبال برچسب‌هایی بگردید که روی مواد چاپی قرار گرفته‌اند. برچسب‌های جعلی اغلب کاغذی با بافت کمی متفاوت دارند، کمی با عناصر طراحی اطراف ناهمتراز هستند، یا لبه‌های قابل مشاهده دارند جایی که برچسب روی متن چاپی همپوشانی دارد. ناخنتان را روی سطح بکشید, یک برچسب لایه‌ای معمولاً لبه برجسته‌ای ظریف خواهد داشت.

URL کامل را قبل از لمس کردن بخوانید. بعد از اینکه دوربینتان یک کد را اسکن می‌کند، یک اعلان یا بنر پیش‌نمایش ظاهر می‌شود. قبل از لمس کردنش توقف کنید و URL کامل را بخوانید. به دنبال بگردید: نام کسب‌وکار مورد انتظار در دامنه (نه یک پسوند یا پیشوند)، یک دامنه سطح بالای قانونی (.com،.gov،.org, نه پسوندهای غیرمعمول مثل.xyz یا.top)، و نبود کلمات اضافی مثل «secure»، «login»، «verify» یا «payment» که به آنچه شبیه نام برند است اضافه شده.

نسبت به اضطرار شک‌برانگیز باشید. کدهایی که با زبانی مثل «فوراً اسکن کن»، «پیشنهاد محدود به زمان» یا «لازم برای دسترسی» همراه هستند، طوری مهندسی شده‌اند که قبل از فکر کردن اقدام کنید. کسب‌وکارهای قانونی معمولاً از زبان فوری و پر فشار در مورد کدهای QR پرداخت استفاده نمی‌کنند.

با کانال‌های رسمی مقابله‌ای داشته باشید. قبل از اسکن کردن کد QR از ایمیل یا سندی که ادعا می‌کند از بانک، دپارتمان HR یا یک حامل شما است، بررسی کنید آیا آن سازمان واقعاً آن ارتباط را فرستاده با تماس مستقیم از طریق وب‌سایت یا برنامه رسمی‌شان. هرگز از اطلاعات تماس ارائه‌شده در همان پیامی که حاوی کد QR است استفاده نکنید. برای ارزیابی لینک‌ها و محتوای مشکوک از منابع ناشناس، ابزار اسکن Truvizy می‌تواند به شما کمک کند ریسک را قبل از تعهد به هر اقدامی ارزیابی کنید.

از جایگزین استفاده کنید وقتی موجود است. اگر کد QR تنها گزینه پرداخت در یک پارکومتر یا کیوسک است، در نظر بگیرید از شیار کارت فیزیکی استفاده کنید، از طریق یک برنامه رسمی اختصاصی که از یک فروشگاه برنامه تأیید شده دانلود کردید پرداخت کنید، یا روش دیگری پیدا کنید. راحتی هرگز نباید امنیت را وقتی پرداخت یا اطلاعات شخصی در کار است نادیده بگیرد.

فهرست کنترل برای اسکن ایمن کدهای QR, URL را تأیید کنید، کد فیزیکی را بررسی کنید، از برنامه‌های رسمی استفاده کنید
فهرست کنترل برای اسکن ایمن کدهای QR, URL را تأیید کنید، کد فیزیکی را بررسی کنید، از برنامه‌های رسمی استفاده کنید

اگر کلاهبرداری شدید چه کار کنید

اگر کدی اسکن کردید، لینک را باز کردید و اطلاعات وارد کردید, سریع حرکت کنید. هر دقیقه تأخیر به مهاجم زمان بیشتری برای استفاده از داده‌هایتان می‌دهد.

اگر جزئیات کارت پرداخت وارد کردید: فوراً با خط تقلب بانکتان تماس بگیرید (از شماره پشت کارتتان استفاده کنید، نه هیچ شماره‌ای از سایت مشکوک). درخواست انجماد یا تعویض کارت کنید. از بانک بخواهید هر شارژی از لحظه‌ای که اطلاعات وارد کردید را علامت‌گذاری کند.

اگر اطلاعات ورود وارد کردید: فوراً رمز عبورتان را از یک دستگاه جداگانه و مورد اعتماد تغییر دهید. احراز هویت دو عاملی را اگر هنوز فعال نیست فعال کنید. دستگاه‌ها یا جلسات ناآشنایی که به حساب وارد شده‌اند را بررسی کنید و آنها را حذف کنید. اگر همان رمز عبور را جاهای دیگر هم استفاده می‌کنید, آنها را هم تغییر دهید.

یک هشدار تقلب روی پرونده اعتباری‌تان با یکی از سه آژانس اصلی (Equifax، Experian، TransUnion) قرار دهید, این به‌طور خودکار دو آژانس دیگر را مطلع می‌کند. اگر فکر می‌کنید هویتتان به خطر افتاده، انجماد اعتباری را در نظر بگیرید، که رایگان است و از باز شدن حساب‌های جدید به نام شما جلوگیری می‌کند. راهنمای جامع ما درباره پیشگیری از سرقت هویت فرآیند کامل بازیابی را به تفصیل پوشش می‌دهد.

از کلاهبرداری‌های کد QR و سایر تهدیدات موبایلی با تشخیص تقلب مبتنی بر هوش مصنوعی محافظت کنید.

از این به بعد از خود محافظت کنید

مهم‌ترین عادت این است که قبل از لمس کردن مکث کنید. تمام طراحی کویشینگ بر این واقعیت متکی است که اسکن QR خودکار و آنی احساس می‌شود. شکستن آن پاسخ خودکار, حتی برای دو ثانیه برای خواندن URL, حمله را مختل می‌کند. آن را به یک قانون تبدیل کنید: اول پیش‌نمایش URL، دوم باز کردن.

از یک برنامه اسکنر QR اختصاصی استفاده کنید که بررسی‌های ایمنی زمان واقعی روی URL رمزگشایی‌شده قبل از ارائه به شما انجام می‌دهد. این برنامه‌ها، که رایگان از فروشندگان اصلی امنیتی در دسترس هستند، مثل یک URL-checker داخلی در جریان کار اسکنتان عمل می‌کنند. آنها معادل موبایلی نگه داشتن روی یک لینک قبل از کلیک هستند.

سیستم عامل و مرورگر تلفنتان را به‌روز نگه دارید. پچ‌های امنیتی مکرراً آسیب‌پذیری‌هایی که حملات دانلود خودکار استثمار می‌کنند وقتی از یک سایت مخرب بازدید می‌کنید را می‌بندند. یک تلفن بدون پچ هنگام مرحله دوم یک حمله کویشینگ به‌طور قابل توجهی آسیب‌پذیرتر است، حتی اگر اطلاعات ورودتان در امان بماند.

احراز هویت دو عاملی با یک برنامه احراز هویت فعال کنید, نه SMS. همان‌طور که در راهنمای ما درباره اسمیشینگ و کلاهبرداری‌های پیامکی اشاره کردیم، 2FA مبتنی بر SMS می‌تواند رهگیری شود. یک برنامه احراز هویت کدها را به‌صورت محلی روی دستگاهتان تولید می‌کند که حملات رله زمان واقعی را به‌طور قابل توجهی سخت‌تر می‌کند.

کدهای مشکوک را گزارش دهید هر جا پیدایشان کردید. اگر یک برچسب روی یک کد QR عمومی مشکوک به نظر رسید، مکان را عکاسی کنید و به کسب‌وکار یا مقامات محلی گزارش دهید. حذف یک برچسب مخرب در عرض چند ساعت می‌تواند ده‌ها قربانی بالقوه دیگر را محافظت کند.

Key Takeaways

کدهای QR از بین نمی‌روند, و کلاهبردارانی که آنها را استثمار می‌کنند هم همینطور. با ادغام بیشتر پرداخت‌های بدون تماس، منوهای دیجیتال و خدمات اول-موبایل در زندگی روزمره، کویشینگ پیچیده‌تر و فراگیرتر خواهد شد. پادزهر آگاهی است: دانستن اینکه هر کد QR فیزیکی می‌تواند جایگزین شود، هر کدی در یک ایمیل می‌تواند به هر جایی لینک دهد، و دو ثانیه‌ای که طول می‌کشد تا یک URL قبل از لمس کردن بخوانید می‌تواند همان دو ثانیه‌ای باشد که شما را از یک درس بسیار گران نجات می‌دهند.

برنامه‌های حفاظتی Truvizy شامل ابزارهایی برای تجزیه‌وتحلیل URL ها و لینک‌های مشکوک هستند, یک URL رمزگشایی‌شده از هر کد QR را در Truvizy قبل از باز کردن آن وارد کنید و یک ارزیابی فوری مبتنی بر هوش مصنوعی از مشروعیت آن بگیرید. در یک چشم‌انداز تهدید که در آن کلاهبرداران لینک‌های مخرب را داخل تصاویر پنهان می‌کنند، داشتن ابزاری که مقصد واقعی را بررسی می‌کند دیگر اختیاری نیست, ضروری است.

اسمیشینگ: چرا آن پیامک از بانکتان احتمالاً یک کلاهبرداری است — فیشینگ مبتنی بر پیامک که همان کتاب بازی روان‌شناختی کویشینگ را دارد.

تشخیص ایمیل فیشینگ — چطور حملات مبتنی بر ایمیل را شناسایی کنید، از جمله آنهایی که از کدهای QR برای دور زدن فیلترها استفاده می‌کنند.

حملات مهندسی اجتماعی — تکنیک‌های دستکاری روان‌شناختی پشت کویشینگ و همه کلاهبرداری‌های مدرن.

FAQ

کویشینگ چیست؟

کویشینگ فیشینگ کد QR است, کلاهبرداری‌ای که در آن مهاجمان کدهای QR جعلی می‌سازند یا جایگزین می‌کنند که قربانیان را به وب‌سایت‌های مخربی هدایت می‌کنند که برای دزدیدن اطلاعات ورود، اطلاعات پرداخت یا نصب بدافزار روی دستگاهشان طراحی شده‌اند.

قبل از اسکن کردن چطور بفهمم یک کد QR جعلی است؟

کد را فیزیکی بررسی کنید: به دنبال برچسب‌هایی بگردید که روی کد اصلی قرار گرفته، آسیب به مواد اطراف یا کدهایی که کمی متفاوت از موارد مجاور به نظر می‌رسند. بعد از اسکن، همیشه URL کامل مقصد را در پیش‌نمایش برنامه دوربینتان قبل از لمس «باز کن» بررسی کنید. اگر URL دقیقاً با دامنه کسب‌وکار مورد انتظار مطابقت ندارد، ادامه ندهید.

آیا اسکن کردن کد QR می‌تواند بدافزار روی تلفنم نصب کند؟

صرفاً اسکن کردن کد QR با دوربینتان بدافزار نصب نمی‌کند, اما باز کردن لینک حاصل می‌تواند. سایت‌های مخرب می‌توانند تلاش به دانلودهای خودکار، فیشینگ اطلاعات ورود یا درخواست نصب یک برنامه جعلی کنند. سیستم عامل تلفنتان را به‌روز نگه دارید، از اجازه دادن نصب برنامه از منابع ناشناس خودداری کنید و از یک اسکنر QR با بررسی ایمنی URL داخلی استفاده کنید.

کدام مکان‌ها بیشترین خطر کدهای QR جعلی را دارند؟

مکان‌های پرخطر شامل پارکومترها، میزها و منوهای رستوران، ایستگاه‌های حمل‌ونقل عمومی، برچسب‌های برگشت پارسل، لابی‌های هتل و بروشورهای پخش‌شده در عموم هستند. هر فضای فیزیکی بدون نظارت که کسی بتواند یک کد را شبانه بدون تشخیص جایگزین کند، یک هدف بالقوه است.

اگر قبلاً اسکن کردم و اطلاعات در یک سایت مشکوک وارد کردم چه کار کنم؟

فوراً اقدام کنید: رمزهای عبوری که وارد کردید را تغییر دهید، اگر اطلاعات پرداخت دادید با بانکتان تماس بگیرید، احراز هویت دو عاملی را در حساب‌های آسیب‌دیده فعال کنید و گزارش اعتباری‌تان را نظارت کنید. حادثه را به FTC در reportfraud.ftc.gov گزارش دهید و اگر روی اموال تجاری بود، به کسب‌وکار هشدار دهید تا بتوانند کد به‌خطرافتاده را جایگزین کنند.