การหลอกลวงด้วย QR Code (Quishing): ภัยคุกคามที่ซ่อนอยู่ในที่แจ้ง

การหลอกลวงด้วย QR code, เรียกว่า quishing, กำลังพุ่งสูงขึ้นในปี 2026 เรียนรู้วิธีที่ QR code ปลอมขโมยเงินและข้อมูลของคุณ ที่ที่นักต้มตุ๋นวางไว้ และวิธีสแกนอย่างปลอดภัยก่อนกด

· Truvizy Research Team · 8 min read

TL;DR

Quishing คือการฟิชชิ่งด้วย QR code: นักต้มตุ๋นแทนที่ QR code ที่ถูกกฎหมายบนเมนูร้านอาหาร มิเตอร์จอดรถ ฉลากพัสดุ และโปสเตอร์สาธารณะด้วย code ที่นำไปยังเว็บไซต์ขโมยข้อมูลรับรอง เพราะกล้องโทรศัพท์ของคุณแสดงตัวอย่าง URL ขนาดเล็กก่อนที่คุณจะเปิด คนส่วนใหญ่จึงไม่สังเกตเห็นการเปลี่ยนแปลง ตรวจสอบ URL ปลายทางเสมอก่อนเปิดลิงก์ QR code ใดๆ ใช้เครื่องสแกน QR ที่มีการตรวจสอบความปลอดภัยในตัว และเมื่อสงสัยให้พิมพ์ที่อยู่เว็บทางการด้วยตนเอง

คุณขับรถเข้าโรงจอดรถ สแกน QR code บนตู้ชำระเงิน และกรอกบัตรเครดิตเพื่อจ่ายค่าที่จอด ธุรกรรมดูเหมือนจะสำเร็จ คืนนั้น ธนาคารของคุณโทรมาเรื่องการเรียกเก็บเงินฉ้อโกงสามรายการจากต่างประเทศ คุณไม่ได้ยื่นบัตรให้ใคร คุณไม่ได้คลิกอีเมลน่าสงสัย สิ่งที่คุณทำคือสแกน QR code, และนั่นก็เพียงพอแล้ว ยินดีต้อนรับสู่ quishing: การหลอกลวงที่เติบโตเร็วที่สุดที่คนส่วนใหญ่ไม่เคยได้ยิน

QR code ถูกออกแบบมาเพื่อความสะดวก, สแกนและไป แต่ประสบการณ์ที่ไม่มีความเสียดทานแบบเดียวกันที่ทำให้ดึงดูดธุรกิจก็ทำให้อันตรายในมือนักต้มตุ๋นด้วย ต่างจากลิงก์อีเมลน่าสงสัยที่คุณสามารถวางเมาส์เหนือเพื่อดูตัวอย่าง QR code ไม่เปิดเผยอะไรจนกว่าคุณจะชี้กล้องไปที่มันแล้ว เมื่อคุณเห็น URL ปลายทาง เหยื่อส่วนใหญ่ได้กด 'เปิด' ไปแล้ว ช่องว่างเสี้ยววินาทีนั้นคือสิ่งที่ quishing ใช้ประโยชน์

Quishing คืออะไร?

Quishing, คำผสมระหว่าง 'QR' กับ 'phishing', เป็นการฝัง URL ที่เป็นอันตรายใน QR code เพื่อนำเหยื่อไปยังเว็บไซต์หลอกลวง การหลอกลวงอาจมีหลายรูปแบบ: การเปลี่ยนสติ๊กเกอร์ code จริงด้วย code ปลอมในที่สาธารณะ การส่ง QR code ทางอีเมลหรือข้อความที่ข้ามตัวกรองสแปมปกติ หรือการสร้างเอกสารปลอม (ใบแจ้งหนี้ ใบสั่งจอดรถ ใบแจ้งพัสดุ) ที่มี code หลอกลวงเด่นชัด

ศูนย์รับเรื่องร้องเรียนอาชญากรรมทางอินเทอร์เน็ตของ FBI ได้ระบุ quishing เป็นภัยคุกคามสำคัญที่เกิดใหม่ในปี 2024 และตัวเลขก็ยิ่งแย่ลงตั้งแต่นั้น บริษัทความปลอดภัยทางไซเบอร์บันทึกการเพิ่มขึ้น 587% ของการโจมตีฟิชชิ่งด้วย QR code ระหว่างปี 2024 และ 2025 เทคนิคนี้ได้รับความนิยมในกลุ่มองค์กรฉ้อโกงที่มีการจัดตั้งเพราะถูกและง่ายในการดำเนินการ ตรวจจับในระดับใหญ่ได้ยาก และออกแบบมาเป็นพิเศษเพื่อหลีกเลี่ยงเครื่องมือความปลอดภัยอีเมลที่ไม่สามารถอ่าน URL ที่ฝังอยู่ในรูปภาพ

Quishing เป็นส่วนหนึ่งของการเปลี่ยนแปลงในกลยุทธ์การหลอกลวงไปสู่การโจมตีที่มุ่งเน้นมือถือ ดังที่เราบันทึกไว้ในการวิเคราะห์ วิธีที่ AI เร่งความซับซ้อนของการหลอกลวง ผู้ฉ้อโกงกำหนดเป้าหมายเครื่องมือและนิสัยที่ผู้คนใช้ในยุคสมาร์ทโฟน, และ QR code เป็นหนึ่งในนิสัยมือถือที่ได้รับการยอมรับอย่างแพร่หลายที่สุดในห้าปีที่ผ่านมา

การหลอกลวงด้วย QR Code ทำงานอย่างไร

กลไกของการโจมตี quishing นั้นเรียบง่ายอย่างน่าหลอกลวง ผู้โจมตีสร้าง QR code ที่เข้ารหัส URL ที่เป็นอันตราย, โดยทั่วไปเป็นเวอร์ชันโคลนของหน้าล็อกอินธนาคาร พอร์ทัลชำระเงิน หรือบริการของรัฐบาล หน้าปลอมออกแบบมาให้ดูเหมือนของจริงทุกประการ จับข้อมูลรับรองหรือข้อมูลการชำระเงินที่เหยื่อกรอก

ในการโจมตีทางกายภาพ นักต้มตุ๋นพิมพ์ code หลอกลวงบนสติ๊กเกอร์และวางทับบน code จริงบนมิเตอร์จอดรถ กระดาษเต็นท์บนโต๊ะร้านอาหาร หรือกระดานข่าวสาธารณะ การเปลี่ยนใช้เวลาไม่กี่วินาที จากนั้นผู้โจมตีสามารถออกจากพื้นที่และเก็บข้อมูลที่ขโมยได้จากระยะไกล สติ๊กเกอร์เดียวที่วางได้ดีบนมิเตอร์จอดรถที่ยุ่งสามารถจับเหยื่อได้หลายสิบรายต่อวัน

แผนภาพแสดงวิธีที่นักต้มตุ๋นแทนที่สติ๊กเกอร์ QR code จริงด้วยสติ๊กเกอร์หลอกลวงบนมิเตอร์จอดรถ
แผนภาพแสดงวิธีที่นักต้มตุ๋นแทนที่สติ๊กเกอร์ QR code จริงด้วยสติ๊กเกอร์หลอกลวงบนมิเตอร์จอดรถ

Quishing ทางอีเมลใช้กลยุทธ์ที่แตกต่างกัน ผู้โจมตีส่งข้อความแอบอ้างเป็นธนาคาร HR หรือผู้ส่งพัสดุ อ้างว่าผู้รับต้องยืนยันบัญชีหรือติดตามการส่งมอบ, และรวม QR code 'ให้สแกนด้วยโทรศัพท์เพื่อความปลอดภัยเพิ่มขึ้น' คำแนะนำนี้เจตนา: การย้ายการโต้ตอบไปยังอุปกรณ์มือถือพาเหยื่อออกจากคอมพิวเตอร์ขององค์กรที่มีเครื่องมือความปลอดภัยไปยังโทรศัพท์ส่วนตัวที่มีการป้องกันน้อยกว่า

เมื่ออยู่ในหน้าปลอม เหยื่อเผชิญกับแบบฟอร์มรวบรวมข้อมูลรับรองที่ดูดีมาก การโจมตีขั้นสูงมากขึ้นใช้เทคนิครีเลย์แบบเรียลไทม์: ขณะที่เหยื่อกรอกชื่อผู้ใช้และรหัสผ่าน ผู้โจมตีป้อนข้อมูลรับรองนั้นเข้าสู่เว็บไซต์จริงพร้อมกัน จากนั้นส่งคำขอยืนยันตัวตนสองขั้นตอนกลับไปยังเหยื่อ, ข้ามการป้องกัน 2FA โดยสมบูรณ์

ไม่แน่ใจเกี่ยวกับลิงก์จาก QR code? วาง URL ใน Truvizy เพื่อตรวจสอบตัวชี้บอกฟิชชิ่งก่อนกรอกข้อมูลใดๆ

QR Code ปลอมปรากฏที่ไหน

มิเตอร์จอดรถและตู้ชำระเงินเป็นสถานที่ที่ถูกกำหนดเป้าหมายมากที่สุดในสหรัฐอเมริกา กรมการขนส่งของรัฐเท็กซัสบันทึกสติ๊กเกอร์ QR code ปลอมหลายสิบรายบนมิเตอร์จอดรถในเมืองใหญ่ในปี 2024 เหยื่อกรอกรายละเอียดบัตรเครดิตเต็มโดยคิดว่าจะจ่ายค่าจอดรถและแทนที่ส่งข้อมูลทางการเงินโดยตรงไปยังนักต้มตุ๋น การหลอกลวงได้ผลดีเป็นพิเศษเพราะการชำระค่าจอดรถทำให้เครียด, ผู้ขับขี่มักรีบและไม่ตรวจสอบอินเทอร์เฟซการชำระเงินอย่างละเอียด

กระดาษเต็นท์บนโต๊ะร้านอาหารและเมนูกลายเป็นช่องทางสำคัญเมื่อการรับประทานอาหารแบบไม่สัมผัสแพร่หลายหลังการระบาด สติ๊กเกอร์ QR code หลอกลวงที่วางทับหรือข้างๆ code จริงสามารถนำผู้รับประทานอาหารไปยังเมนูหรือหน้าชำระเงินปลอม ในบางกรณี หน้าปลอมแสดงเมนูที่น่าเชื่อถือก่อนเปลี่ยนเส้นทางไปยังแบบฟอร์มรวบรวมข้อมูลรับรองที่อ้างว่าร้านอาหารเปลี่ยนมาสั่งออนไลน์

ฉลากส่งคืนพัสดุเป็นหมวดหมู่การโจมตีที่เติบโตอย่างรวดเร็ว เหยื่อได้รับพัสดุ, บางครั้งไม่ได้ขอ บางครั้งเป็นส่วนหนึ่งของแคมเปญรางวัลปลอม, ที่มีฉลากส่งคืนพร้อม QR code การสแกน code ถูกกล่าวว่าเริ่มการส่งคืนแต่แทนที่นำไปยังพอร์ทัลผู้ค้าปลีกปลอมที่ขอข้อมูลบัตรเครดิตสำหรับ 'การประมวลผลการคืนเงิน'

ระบบขนส่งสาธารณะและป้ายรถเมล์มีความเสี่ยงสำคัญเพราะป้ายได้รับการจัดการโดยเทศบาลที่มีความสามารถในการตรวจสอบจำกัด code หลอกลวงบนแผนที่ขนส่ง ตู้ขายตั๋ว หรือหน้าจอชำระค่าโดยสารสามารถไม่มีใครสังเกตเป็นวันก่อนการลบ ในสหราชอาณาจักร Transport for London นำ QR code หลอกลวงหลายร้อยอันออกจากสถานีในปี 2025

การโจมตีทางอีเมลและเอกสารกำหนดเป้าหมายธุรกิจเช่นเดียวกับผู้บริโภค ใบแจ้งหนี้ปลอมที่มี QR code สำหรับ 'การชำระเงินที่ปลอดภัย' การแจ้งเตือน HR ปลอมที่กำหนดให้พนักงานสแกน code เพื่ออัปเดตข้อมูลเงินเดือน และการแจ้งเตือนการส่งพัสดุปลอมล้วนเป็นช่องทางการโจมตีองค์กรทั่วไป ดังที่เราพูดถึงในคู่มือ การตรวจจับอีเมลฟิชชิ่ง การโจมตีทางอีเมลกำลังซับซ้อนมากขึ้นในการใช้องค์ประกอบภาพเพื่อหลีกเลี่ยงการกรองอัตโนมัติ

ใบปลิวการกุศลปลอมและการระดมทุนใช้ประโยชน์จากความใจดี หลังภัยธรรมชาติหรือข่าวเด่น ใบปลิวหลอกลวงพร้อม QR code บริจาคปรากฏบนกระดานข่าวชุมชน ในซูเปอร์มาร์เก็ต และบนโซเชียลมีเดีย code เชื่อมโยงไปยังหน้าชำระเงินการกุศลปลอมที่น่าเชื่อถือซึ่งเก็บการบริจาคและรายละเอียดบัตรโดยไม่เคยบริจาคจริง

ทำไม QR Code หลอกลวงถึงมีประสิทธิผลมาก

ประสิทธิผลของ quishing มาจากความไม่สมดุลของความน่าเชื่อถือพื้นฐาน QR code เกี่ยวข้องกับความสะดวกและความทันสมัย, พวกมันถูกวางโดยธุรกิจที่ถูกกฎหมายบนวัสดุทางการ ผู้คนได้รับการฝึกฝนผ่านการใช้งานหลายปีให้เชื่อถือบริบททางกายภาพของ QR code มากกว่าลิงก์อีเมลสุ่ม code บนโต๊ะร้านอาหารหรือมิเตอร์จอดรถมีการรับรองโดยนัยจากตำแหน่งนั้นเอง

แอปกล้องให้ความเสียดทานน้อยมาก สมาร์ทโฟนส่วนใหญ่จดจำ QR code โดยอัตโนมัติและแสดงตัวอย่าง URL ขนาดเล็กที่ผู้ใช้ละเว้นโดยสัญชาตญาณโดยไม่อ่าน หน้าต่างตัวอย่างเล็ก URL มักยาวหรือสั้นลง และแนวโน้มตามธรรมชาติของสมองในการจับคู่รูปแบบหมายความว่าผู้ใช้มักเห็นสิ่งที่คาดหวังมากกว่าสิ่งที่อยู่ที่นั่นจริงๆ URL อย่าง 'secure-payment-parkingzone.com' อ่านว่า 'จอดรถ' สำหรับผู้ใช้ที่ไม่ใส่ใจ แม้ว่ามันจะส่งสัญญาณอันตรายสำหรับผู้ที่ระวัง

คุณมาถึงมิเตอร์จอดรถและสแกน QR code กล้องโทรศัพท์ของคุณแสดง URL ตัวอย่าง: 'parking-pay-secure-city.com/pay' มิเตอร์อยู่ในเมืองใหญ่ของอเมริกา คุณจะทำอย่างไร?

  1. เปิดลิงก์ทันที, มันกล่าวถึงเมืองดังนั้นต้องถูกกฎหมาย
  2. ตรวจสอบ URL อย่างละเอียด: ตรงกับโดเมนจอดรถทางการของเมืองคุณหรือไม่?
  3. การสแกน QR code ที่มิเตอร์จอดรถของรัฐบาลปลอดภัยเสมอ
  4. โทรหาสำนักงานเมืองเพื่อยืนยันก่อนชำระเงิน

Answer: โดเมนที่ฟังดูทั่วไปอย่าง 'parking-pay-secure-city.com' เป็นสัญญาณเตือนสำคัญ ระบบจอดรถทางการของเมืองของคุณจะมีโดเมนที่เฉพาะเจาะจงและเป็นที่รู้จักดี (เช่น paybyphone.com หรือเว็บไซต์.gov ทางการของเมืองคุณ) ตรวจสอบเสมอว่า URL ปลายทางตรงกับโดเมนทางการที่คาดไว้ก่อนกรอกข้อมูลการชำระเงิน, หรือใช้ช่องเสียบบัตรทางกายภาพหากมี

บริบทมือถือยังลบเครื่องมือความปลอดภัยหลายอย่างที่ผู้คนมีบนคอมพิวเตอร์เดสก์ท็อป การป้องกันปลายทางขององค์กร ส่วนขยายเบราว์เซอร์ที่ทำเครื่องหมายเว็บไซต์ฟิชชิ่ง และนิสัยการวางเมาส์เหนือลิงก์เพื่อดูตัวอย่างไม่สามารถนำไปใช้กับมือถือได้ บนโทรศัพท์ ผู้ใช้ส่วนใหญ่อยู่คนเดียว

วิธีสังเกต QR Code ปลอม

ตรวจสอบ code ทางกายภาพ มองหาสติ๊กเกอร์ที่วางทับบนวัสดุที่พิมพ์ สติ๊กเกอร์ปลอมมักมีกระดาษที่แตกต่างเล็กน้อย การจัดวางที่ผิดพลาดเล็กน้อยกับองค์ประกอบการออกแบบโดยรอบ หรือขอบที่มองเห็นได้ซึ่งสติ๊กเกอร์ทับข้อความที่พิมพ์ ลากเล็บของคุณตามพื้นผิว, สติ๊กเกอร์ที่เป็นชั้นมักมีขอบที่นูนขึ้นเล็กน้อย

อ่าน URL เต็มก่อนกด หลังกล้องสแกน code การแจ้งเตือนหรือแบนเนอร์ตัวอย่างจะปรากฏ หยุดก่อนกดและอ่าน URL เต็ม มองหา: ชื่อธุรกิจที่คาดในโดเมน (ไม่ใช่ suffix หรือ prefix) โดเมนระดับสูงที่ถูกกฎหมาย (.com,.gov,.org, ไม่ใช่ส่วนขยายผิดปกติอย่าง.xyz หรือ.top) และไม่มีคำพิเศษอย่าง 'secure,' 'login,' 'verify,' หรือ 'payment' ที่ต่อท้ายสิ่งที่ดูเหมือนชื่อแบรนด์

ระวังความเร่งด่วน code ที่จับคู่กับภาษาอย่าง 'สแกนทันที' 'ข้อเสนอเวลาจำกัด' หรือ 'จำเป็นสำหรับการเข้าถึง' ออกแบบมาเพื่อให้คุณทำก่อนคิด ธุรกิจที่ถูกกฎหมายโดยทั่วไปไม่ใช้ภาษาเร่งด่วนที่มีแรงกดดันสูงรอบ QR code การชำระเงิน

ตรวจสอบกับช่องทางทางการ ก่อนสแกน QR code จากอีเมลหรือเอกสารที่อ้างว่ามาจากธนาคาร HR หรือผู้ให้บริการขนส่ง ตรวจสอบว่าองค์กรนั้นส่งการสื่อสารจริงๆ โดยติดต่อโดยตรงผ่านเว็บไซต์หรือแอปทางการ อย่าใช้ข้อมูลติดต่อที่ระบุในข้อความเดียวกับ QR code สำหรับการประเมินลิงก์น่าสงสัยและเนื้อหาจากแหล่งที่ไม่รู้จัก เครื่องมือสแกนของ Truvizy สามารถช่วยประเมินความเสี่ยงก่อนดำเนินการใดๆ

ใช้ทางเลือกอื่นเมื่อมี หาก QR code เป็นตัวเลือกการชำระเงินเดียวที่มิเตอร์จอดรถหรือตู้ ให้พิจารณาใช้ช่องเสียบบัตรทางกายภาพ ชำระเงินผ่านแอปทางการที่ดาวน์โหลดจาก app store ที่ยืนยันแล้ว หรือหาวิธีอื่น ความสะดวกไม่ควรแทนที่ความปลอดภัยเมื่อเกี่ยวข้องกับการชำระเงินหรือข้อมูลส่วนตัว

รายการตรวจสอบสำหรับการสแกน QR code อย่างปลอดภัย, ตรวจสอบ URL, ตรวจสอบ code ทางกายภาพ, ใช้แอปทางการ
รายการตรวจสอบสำหรับการสแกน QR code อย่างปลอดภัย, ตรวจสอบ URL, ตรวจสอบ code ทางกายภาพ, ใช้แอปทางการ

ควรทำอย่างไรหากถูกหลอก

หากคุณสแกน code เปิดลิงก์ และกรอกข้อมูล, รีบดำเนินการ ทุกนาทีที่ล่าช้าให้เวลาผู้โจมตีมากขึ้นในการใช้ข้อมูลของคุณ

หากกรอกรายละเอียดบัตรชำระเงิน: โทรหาสายด่วนฉ้อโกงของธนาคารทันที (ใช้หมายเลขด้านหลังบัตร ไม่ใช่หมายเลขใดๆ จากเว็บไซต์น่าสงสัย) ขอระงับหรือเปลี่ยนบัตร ขอให้ธนาคารทำเครื่องหมายการเรียกเก็บเงินใดๆ ตั้งแต่เวลาที่คุณกรอกข้อมูล

หากกรอกข้อมูลรับรองการเข้าสู่ระบบ: เปลี่ยนรหัสผ่านทันทีจากอุปกรณ์ที่เชื่อถือแยกต่างหาก เปิดใช้งานการยืนยันตัวตนสองขั้นตอนหากยังไม่ใช้งาน ตรวจสอบอุปกรณ์หรือเซสชันที่ไม่คุ้นเคยที่เข้าสู่ระบบบัญชีและลบออก หากใช้รหัสผ่านเดียวกันที่อื่น, เปลี่ยนรหัสเหล่านั้นด้วย

วางการแจ้งเตือนการฉ้อโกงในไฟล์เครดิตของคุณกับสำนักงานเครดิตหลักหนึ่งใน (Equifax, Experian, TransUnion), ซึ่งจะแจ้งอีกสองแห่งโดยอัตโนมัติ หากคุณเชื่อว่าตัวตนของคุณถูกบุกรุก ให้พิจารณาการระงับเครดิตซึ่งฟรีและป้องกันไม่ให้เปิดบัญชีใหม่ในชื่อของคุณ คู่มือฉบับสมบูรณ์ของเราเกี่ยวกับ การป้องกันการโจรกรรมตัวตน ครอบคลุมกระบวนการการฟื้นตัวเต็มรูปแบบอย่างละเอียด

ปกป้องตัวเองจากการหลอกลวงด้วย QR code และภัยคุกคามมือถืออื่นๆ ด้วยการตรวจจับการฉ้อโกงที่ขับเคลื่อนด้วย AI

ป้องกันตัวเองในอนาคต

นิสัยที่สำคัญที่สุดเพียงอย่างเดียวคือหยุดก่อนกด การออกแบบ quishing ทั้งหมดขึ้นอยู่กับความจริงที่ว่าการสแกน QR รู้สึกอัตโนมัติและทันที การทำลายการตอบสนองอัตโนมัตินั้น, แม้แค่สองวินาทีเพื่ออ่าน URL, จะทำลายการโจมตี ทำให้เป็นกฎ: ดูตัวอย่าง URL ก่อน เปิดเป็นอันดับสอง

ใช้แอปสแกน QR เฉพาะที่ทำการตรวจสอบความปลอดภัยแบบเรียลไทม์บน URL ที่ถอดรหัสก่อนนำเสนอให้คุณ แอปเหล่านี้ซึ่งมีให้ฟรีจากผู้จำหน่ายความปลอดภัยหลัก ทำงานเหมือน URL-checker ที่ฝังอยู่ในขั้นตอนการสแกนของคุณ พวกมันเทียบเท่ากับการวางเมาส์เหนือลิงก์ก่อนคลิกบนมือถือ

อัปเดต OS และเบราว์เซอร์โทรศัพท์ไว้เสมอ แพตช์ความปลอดภัยมักปิดช่องโหว่ที่การโจมตีดาวน์โหลดแบบขับเคลื่อนใช้เมื่อเยี่ยมชมเว็บไซต์ที่เป็นอันตราย โทรศัพท์ที่ไม่ได้รับการแพตช์เสี่ยงต่อขั้นตอนที่สองของการโจมตี quishing มากขึ้นอย่างมีนัยสำคัญ แม้ว่าข้อมูลรับรองของคุณยังคงปลอดภัย

เปิดใช้งานการยืนยันตัวตนสองขั้นตอนโดยใช้แอป authenticator, ไม่ใช่ SMS ดังที่เราระบุไว้ในคู่มือ smishing และการหลอกลวงทางข้อความ 2FA ที่ใช้ SMS สามารถถูกดักฟัง แอป authenticator สร้างรหัสในเครื่องบนอุปกรณ์ของคุณ ทำให้การโจมตีรีเลย์แบบเรียลไทม์ยากขึ้นอย่างมีนัยสำคัญ

รายงาน code น่าสงสัยทุกที่ที่คุณพบ หากคุณพบสติ๊กเกอร์ที่ดูน่าสงสัยบน QR code สาธารณะ ถ่ายรูปตำแหน่งและรายงานต่อธุรกิจหรือเจ้าหน้าที่ท้องถิ่น การลบสติ๊กเกอร์ที่เป็นอันตรายภายในไม่กี่ชั่วโมงสามารถปกป้องเหยื่อที่อาจเป็นไปได้อีกหลายสิบราย

Key Takeaways

QR code จะไม่หายไป, และนักต้มตุ๋นที่ใช้ประโยชน์จากมันก็เช่นกัน เมื่อการชำระเงินแบบไม่สัมผัส เมนูดิจิทัล และบริการที่มุ่งเน้นมือถือฝังตัวลึกขึ้นในชีวิตประจำวัน quishing จะซับซ้อนและแพร่หลายมากขึ้น วิธีแก้คือการตระหนักรู้: รู้ว่า QR code ทางกายภาพใดๆ สามารถถูกแทนที่ได้ code ใดๆ ในอีเมลสามารถลิงก์ไปที่ใดก็ได้ และสองวินาทีที่ใช้อ่าน URL ก่อนกดอาจเป็นสองวินาทีที่ช่วยให้คุณพ้นจากบทเรียนที่มีราคาแพงมาก

แผนการป้องกันของ Truvizy รวมถึงเครื่องมือสำหรับวิเคราะห์ URL และลิงก์น่าสงสัย, วาง URL ที่ถอดรหัสจาก QR code ใดๆ ใน Truvizy ก่อนเปิดและรับการประเมินความถูกต้องที่ขับเคลื่อนด้วย AI ทันที ในภูมิทัศน์ภัยคุกคามที่นักต้มตุ๋นซ่อนลิงก์ที่เป็นอันตรายไว้ในรูปภาพ การมีเครื่องมือที่ตรวจสอบปลายทางจริงไม่ใช่ทางเลือกอีกต่อไป, แต่เป็นสิ่งจำเป็น

Smishing: ทำไมข้อความจากธนาคารของคุณน่าจะเป็นการหลอกลวง — การฟิชชิ่งที่ใช้ข้อความซึ่งใช้แนวทางจิตวิทยาเดียวกับ quishing

การตรวจจับอีเมลฟิชชิ่ง — วิธีระบุการโจมตีทางอีเมล รวมถึงที่ใช้ QR code เพื่อข้ามตัวกรอง

การโจมตีวิศวกรรมสังคม — เทคนิคการจัดการทางจิตวิทยาเบื้องหลัง quishing และการหลอกลวงสมัยใหม่ทั้งหมด

FAQ

Quishing คืออะไร?

Quishing คือการฟิชชิ่งด้วย QR code, การหลอกลวงที่ผู้โจมตีแทนที่หรือสร้าง QR code ปลอมที่นำเหยื่อไปยังเว็บไซต์ที่เป็นอันตรายซึ่งออกแบบมาเพื่อขโมยข้อมูลรับรองการเข้าสู่ระบบ ข้อมูลการชำระเงิน หรือติดตั้งมัลแวร์บนอุปกรณ์

ฉันจะรู้ได้อย่างไรว่า QR code ปลอมก่อนสแกน?

ตรวจสอบ code ทางกายภาพ: มองหาสติ๊กเกอร์ที่วางทับบน code ต้นฉบับ ความเสียหายของวัสดุโดยรอบ หรือ code ที่ดูผิดปกติเล็กน้อยเมื่อเปรียบเทียบกับ code ข้างเคียง หลังสแกนให้ตรวจสอบ URL ปลายทางเต็มในตัวอย่างของแอปกล้องก่อนกด 'เปิด' เสมอ หาก URL ไม่ตรงกับโดเมนธุรกิจที่คาดไว้พอดี อย่าดำเนินการต่อ

การสแกน QR code สามารถติดตั้งมัลแวร์บนโทรศัพท์ของฉันได้หรือ?

การสแกน QR code ด้วยกล้องเฉยๆ ไม่ได้ติดตั้งมัลแวร์, แต่การเปิดลิงก์ที่ได้อาจทำได้ เว็บไซต์ที่เป็นอันตรายอาจพยายามดาวน์โหลดแบบขับเคลื่อน ฟิชชิ่งข้อมูลรับรอง หรือให้คุณติดตั้งแอปปลอม อัปเดต OS โทรศัพท์ไว้เสมอ หลีกเลี่ยงการอนุญาตการติดตั้งแอปจากแหล่งที่ไม่รู้จัก และใช้เครื่องสแกน QR ที่มีการตรวจสอบความปลอดภัย URL ในตัว

สถานที่ใดมีความเสี่ยงสูงสุดของ QR code ปลอม?

สถานที่ที่มีความเสี่ยงสูง ได้แก่ มิเตอร์จอดรถ โต๊ะร้านอาหารและเมนู ป้ายหยุดรถขนส่งสาธารณะ ฉลากส่งคืนพัสดุ ล็อบบี้โรงแรม และใบปลิวที่โพสต์ในที่สาธารณะ พื้นที่ทางกายภาพที่ไม่มีการดูแลซึ่งบางคนสามารถแทนที่ code ข้ามคืนโดยไม่ถูกตรวจพบเป็นเป้าหมายที่มีศักยภาพ

ควรทำอย่างไรหากสแกนและกรอกข้อมูลในเว็บไซต์น่าสงสัยไปแล้ว?

ดำเนินการทันที: เปลี่ยนรหัสผ่านที่คุณกรอก ติดต่อธนาคารหากให้รายละเอียดการชำระเงิน เปิดใช้งานการยืนยันตัวตนสองขั้นตอนในบัญชีที่ได้รับผลกระทบ และตรวจสอบรายงานเครดิตของคุณ รายงานเหตุการณ์ต่อ FTC ที่ reportfraud.ftc.gov และหากอยู่ในทรัพย์สินของธุรกิจ แจ้งให้ธุรกิจทราบเพื่อเปลี่ยน code ที่ถูกบุกรุก