Хакери обходять захист пошти через QR-коди у PDF: роз’яснення від кіберполіції Житомирщини

Коли хакери обходять захист пошти через QR-коди у PDF-документах – цю тактику називають quishing (QR‑code phishing).

Quishing (від слів QR-code phishing) – це тип фішингової атаки, при якій зловмисники використовують QR-коди для перенаправлення користувачів на шкідливі або фальшиві сайти з метою викрадення облікових даних, грошей або встановлення вірусу.

Як це працює?

Вам надсилають лист (поштою або месенджером), який виглядає як повідомлення від надійного джерела (наприклад, Microsoft, банку, служби доставки, HR-відділу). У листі або вкладенні (часто PDF, PNG, або Word-документ) міститься QR-код, який: обіцяє “перегляд рахунку”, “перевірити доставку”, “оновити обліковий запис” тощо; або імітує корпоративний документ для підпису (наприклад, через DocuSign).

1.    Жертва сканує QR-код (переважно зі смартфона) і потрапляє на фейкову веб-сторінку, яка:

• виглядає як справжній сайт (Microsoft, Google, Amazon тощо);
• просить ввести логін, пароль, або інші персональні дані.

2.    Ці дані потрапляють до хакерів, і можуть бути використані для:

• зламу облікових записів;
• крадіжки коштів;
• подальших атак на організацію.

Що відбувається – сучасна атака

QR-коди в PDF: замість розміщення фішингових QR-кодів у самому тексті листа, зловмисники почали вкладати їх у PDF-аташменти. Це ускладнює виявлення атаки стандартними фільтрами – адже у листі немає очевидних адаптів або посилань.

Соціальна інженерія: листи імітують відомі сервіси – Microsoft, DocuSign, Adobe, HR-відділи, тощо. В PDF додають QR-код із проханням «переглянути документ», «підписати файл» або «послухати повідомлення»

Чому це небезпечно та як захиститися від quishing

Антивіруси часто не бачать загрози, бо:

1.    Відсутність видимих посилань в тілі листа – системи не фіксують фішинговий контент як підозрілий;

2.    Використання особистих пристроїв (смартфонів) для сканування QR-коду часто обходить корпоративні захисні рішення – мобільні пристрої мають слабший безпековий захист;

3.    Людський фактор: QR-коди сприймаються як менш підозрілі, ніж текстові посилання; така атака часто працює саме за рахунок емоцій (терміновість, авторитет бренда).

Як захиститися від quishing

• Аналіз QR-кодів: використовувати рішення, які розпізнають QR-коди всередині документів і сканують їх URL або структуру (нові ML‑моделі навіть аналізують QR як зображення без декодування) – наприклад, Abnormal AI, Perception Point, Barracuda чи Checkpoint;
• Багатофакторна автентифікація (MFA): додатковий рівень безпеки, навіть якщо логін і пароль будуть скомпрометовані;
• Скануйте лише з перевірених джерел – не довіряйте QR-кодам з листів або наклейок, отриманих без запиту або підтвердження джерелом.
• Перевіряйте URL у прев’ю браузера після сканування – не переходьте за спрощеними або підозрілими адресами, особливо якщо запитують логін, пароль чи реквізити картки;
• Огляньте фізичний QR-код – можливо наклеєна наклейка з шахрайським кодом чи нерівні краї. Уникайте сканування подібних QR-кодів;
• Використовуйте захищені сканери, які показують URL та можуть блокувати зловмисні ресурси перед відкриттям;
• Не вводьте конфіденційну інформацію після сканування QR-коду без впевненості у законності сайту.

Зверніться до поліції – Кіберполіція України: https://cyberpolice.gov.ua

Нагадаємо, «БРАМА» проти дезінформації: як українці щодня блокують фейки й допомагають ЗСУ в тилу.