คิดก่อนแสกน มิจฉาชีพใช้ QR Code ขโมยเงินอย่างไร

15 มีนาคม 2022

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

ข้อความสแกมไม่มี อีเมลสแปมก็ไม่เคยหลวมตัวกด สายเรียกเข้าจากแก็งคอลเซ็นเตอร์ก็ไม่เคยได้รับ แล้วจะตกเป็นเหยื่อมิจฉาชีพจนเงินหายไปจากบัญชีได้อย่างไร!? ยังมี QR Code เป็นอีกหนึ่งช่องทางที่มิจฉาชีพอาจใช้ขโมยข้อมูลตัวตนหรือทรัพย์สินของคุณได้ 

QR Code คืออะไร 

QR ย่อมาจาก Quick Response เป็นโค้ดหน้าตาสีเหลี่ยมที่สามารถเชื่อมโยงกับลิงก์ URL ของเว็บไซต์ได้ ปัจจุบันองค์กร ธุรกิจ ร้านค้าต่างๆ มักใช้คิวอาร์โค้ดในการเชื่อมต่อไปยังเว็บไซต์ แอปพลิเคชัน หรือลิงก์ดาวน์โหลดข้อมูลต่างๆ เพื่อความสะดวกและรวดเร็ว เราสามารถพบเห็นคิวอาร์โค้ดได้ทั่วไปตามสิ่งของต่างๆ เช่น สินค้า นามบัตร ใบปลิว โฆษณา หรือแม้แต่ที่ Counter จ่ายเงิน

ยิ่งในสถานการณ์โรคระบาดในปัจจุบัน คิวอาร์โค้ดได้ถูกนำมาใช้เพื่อติดตามการเคลื่อนไหวของผู้คนโดยติดหน้าทางเข้าของสถานที่ต่างๆ เพียงแค่ยกสมาร์ทโฟนขึ้นสแกนก็สามารถเข้าสู่เว็บไซต์ได้อย่างง่ายดาย โดยไม่จำเป็นต้องพิมพ์ URL ให้ยุ่งยาก คิวอาร์โค้ดสามารถสร้างขึ้นได้เอง และทำได้ง่ายมากผ่านบริการช่วยแปลง URL เป็น QR Code บนช่องทางออนไลน์ ซึ่งความง่ายดายเหล่านี้เอาที่เป็นช่องทางให้เหล่ามิจฉาชีพใช้หาประโยชน์

ความปลอดภัยของ QR Code 

ในด้านความปลอดภัยของตัว QR code เองนั้นไม่มีปัญหา แต่อันตรายจะอยู่ที่ลิงก์ปลายทางของคิวอาร์โค้ดหลังจากสแกนโค้ดแล้วเสียมากกว่า เพราะแฮกเกอร์สามารถเปลี่้ยนปลายทางส่งผู้สแกนไปยังมัลแวร์ หรือขโมยข้อมูลได้ไม่ต่างจากอีเมลสแปมหรือสแกมข้อความ ซึ่งเราไม่สามารถรู้ได้ด้วยตัวเองว่าคิวอาร์โค้ดที่เราสแกนนั้นมีปลายทางเป็นอะไร มิจฉาชีพหรือแฮกเกอร์จึงใช้ช่องโหว่นี้ แปะ QR Code อันตรายไว้ในที่สาธารณะ เพื่อหลอกให้คนไม่รู้อิโหน่อิเหน่ให้มาสแกนโค้ดที่นำไปสู่เว็บไซต์ที่เต็มไปด้วยมัลแวร์

แล้วเราจะรู้ได้อย่างไรว่า QR Code แบบไหนอันตราย

ถึงแม้สมาร์ทโฟนจะสามารถสแกนอ่านคิวอาร์โค้ดได้ง่ายๆ แค่เปิดกล้อง แต่การอ่านรหัสนั้นไม่สามารถบอกได้ว่า QR Code ที่สแกนเป็นอันตรายหรือไม่ ดังนั้นจึงมีการสร้างแอปพลิเคชันสำหรับสแกนคิวอาร์โค้ดพร้อมตรวจสอบความปลอดภัยใช้คุณได้เลือกใช้ เช่น Kaspersky หรือ Sophos เป็นแอปพลิเคชันที่สามารถตรวจสอบ QR Code ได้ว่าเชื่อมต่อ URL ที่น่าเชื่อถือหรือไม่ หากตรวจพบการฟิชชิ่ง หรือสแกมข้อความ มันจะแจ้งเตือนทันที

มิจฉาชีพใช้ประโยชน์จากโค้ด QR ได้อย่างไร

1. เปลี่ยนเส้นทางไปยังเว็บไซต์ที่เป็นอันตราย เพื่อขโมยข้อมูลสำคัญ

ยกตัวอย่างเช่น มิจฉาชีพได้ติดสติกเกอร์โค้ด QR ปลอมไว้บนมิเตอร์จอดรถ (Parking Meter) ในหลายเมืองของรัฐเท็กซัส ประเทศสหรัฐอเมริกา เพื่อนำผู้ใช้งานไปยังเว็บไซต์ชำระเงินปลอม ทำให้เงินชำระค่าที่จอดรถถูกโอนเข้าสู่บัญชีของมิจฉาชีพแทน

2. สแกนเพื่อดาวน์โหลดข้อมูลหรือติดตั้งแอปพลิเคชันแฝงมัลแวร์ลงบนสมาร์ทโฟนเพื่อขโมยข้อมูลสำคัญ

ยกตัวอย่างเช่น บัตรประจำตัวประชาชน บัญชีธนาคาร ข้อมูลผู้ติดต่อ หรือข้อมูลตัวตนของคุณ

คิดก่อนสแกน เคล็ดลับเพื่อความปลอดภัยขณะใช้รหัส QR

1.ตรวจสอบการปลอมแปลง

หากต้องสแกนคิวอาร์โค้ดในที่สาธารณะ ให้เช็กก่อนว่าคิวอาร์โค้ดนั้นไม่ได้มีสติกเกอร์ หรืออะไรมาแปะทับตัวโค้ดที่อาจเปลี่ยนเส้นทางนำไปสู่ลิงก์ที่อันตราย

2.ตรวจสอบ URL และบริษัทเจ้าของลิงก์ ก่อนสแกน QR Code

ให้ตรวจสอบก่อนว่าบริษัทนี้มีอยู่จริง ถูกต้องตามกฎหมาย และดูเป็นมืออาชีพไหม หรือตรวจสอบ URL ปลายทางว่าถูกต้องตรงกับเว็บไซต์ที่ต้องการเข้าใช้งานหรือไม่ หาไม่มั่นใจ ให้ลบและพิมพ์ URL เว็บไซต์ด้วยตัวเอง

3.แคมเปญการตลาดส่วนใหญ่จะขอเพียงชื่อ และอีเมลเท่านั้น ไม่มีนโยบายขอข้อมูลส่วนบุคคลเด็ดขาด

หากมีการขอข้อมูลส่วนบุคคล ไม่ควรให้เด็ดขาด เพราะ หากเป็นแคมเปญปลอมที่แฮกเกอร์สร้างเพื่อหลอกขอข้อมูล อาจนำข้อมูลข้อมูลส่วนตัวไปแอบอ้างก่อให้เกิดความเสียหายได้ 

4.ใช้แอปพลิเคชันด้านความปลอดภัยในการอ่าน QR Code

 เพื่อช่วยคัดกรองลิงก์ให้ก่อน ลดการหลุดรั่วของข้อมูลส่วนตัวจากลิงก์เว็บไซต์ที่อันตราย

5.ระวังให้มากเมื่อต้องใช้ QR Code ในการชำระบิล หรือ ทำธุรกรรมทางการเงิน

QR Code ธนาคารถือเป็นข้อมูลส่วนตัวประเภทหนึ่ง ควรระมัดระวังไม่โพสต์ลงในโซเชียลมีเดีย หรือพื้นที่สาธารณะ เพื่อป้องกันไม่ให้ตกเป็นเหยื่อของมิจฉาชีพ

6.ห้ามแชร์คิวอาร์โค้ดที่มีข้อมูลที่ละเอียดอ่อน

ยกตัวอย่างเช่น รหัสที่ใช้ในการเข้าถึงแอปพลิเคชั่น หรือเอกสาร และใบรับรองสุขภาพ

แม้ว่าเทคโนโลยีในปัจจุบันมีการเอื้อความสะดวกสบายมากขึ้น แต่ก็อย่าลืมว่าแฮกเกอร์พัฒนาการแฮกให้ตามทันอยู่เสมอ ดังนั้นเราจึงควรหมั่นสังเกตและติดตามข่าวสารตลอด เพื่อความปลอดภัยและไม่ตกเป็นเหยื่อหลอกลวงของมิจฉาชีพ

ที่มา: https://www.welivesecurity.com/2022/02/04/think-before-scan-how-fraudsters-exploit-qr-codes/

บทความที่เกี่ยวข้อง