أكدت تحذيرات بنوك عالمية كبرى مثل: Santander وHSBC وTSB، إلى جانب الجهات التنظيمية، مثل: مركز الأمن السيبراني الوطني في المملكة المتحدة، ولجنة التجارة الفيدرالية الأميركية (FTC)، خطورة الرموز التي أصبحت شكل من اشكال الاحتيال المتطور بشكل متزايد.
وقد شهدت المملكة المتحدة انتشارًا واسعًا لهجمات (Quishing) خلال المدة الماضية، فقد استهدف المجرمون مواقف السيارات، عن طريق وضع ملصقات رموز الاستجابة السريعة المزيفة فوق رموز حقيقية موجودة في مواقف السيارات، ويعتقد الناس أنهم يمسحون رموز تطبيقات مواقف السيارات الأصلية، ولكنهم بدلًا من ذلك ينتقلون إلى موقع ويب مزيف أو تطبيقات يديرها المحتالون لسرقة بياناتهم.
يهدف هذا الهجوم إلى سرقة معلومات حساسة، مثل كلمات المرور أو البيانات المالية أو معلومات تحديد الهوية الشخصية (PII) – التي تشمل على سبيل المثال وليس الحصر – بيانات مثل: البريد الإلكتروني، وعنوان المنزل وأرقام الهواتف وأرقام التأمين الاجتماعي، ثم استخدام هذه المعلومات لأغراض أخرى، مثل سرقة الهوية أو الاحتيال المالي أو برامج الفدية.
بالإضافة إلى ذلك، قد يؤدي هذا الهجوم إلى تثبيت برامج ضارة في هاتفك، وفي بعض الحالات المتطورة، قد تستهدف هذه الهجمات الوصول إلى رموز المصادقة الثنائية التي تصل إلى هاتفك لاختراق حساباتك.
وتكمن خطورة هذا النوع من الاحتيال في قدرته على تجاوز الدفاعات الأمنية التقليدية، مثل أنظمة حماية البريد الإلكتروني، إذ تتعامل هذه الأنظمة مع رموز الاستجابة السريعة كصور غير ضارة.
تبدأ الحكاية بوصول رسالة بريد إلكتروني تبدو وكأنها صادرة من مصدر موثوق مثل البنك أو شركة الاتصالات، وتحتوي هذه الرسالة على رمز (QR) وعادة ما تحتوي على نص يحثك على مسحه لتأكيد هويتك أو تحديث معلومات حسابك.
وقد سهل الذكاء الاصطناعي وخاصة النماذج اللغوية الكبيرة عملية إنشاء رسائل بريد إلكتروني تصيدية ذات مصداقية عالية وخالية من الأخطاء النحوية وأكثر إقناعًا وأصعب اكتشافًا. إذ يمكن للمهاجمين الآن إنشاء 1000 رسالة بريد إلكتروني تصيدية في أقل من ساعتين مقابل 10 دولارات فقط.
وتتمثل أهم أسباب نجاح هجمات (Quishing) في سهولة تنفيذها، وكذلك التساهل الذي يبديه المستخدمون تجاه هذه التقنية، فقد اعتاد المستخدمون على مسح رموز الاستجابة السريعة للوصول السريع إلى المعلومات أو الخدمات، وهذا ما يجعلهم أكثر عرضة للخداع، إذ قد يقومون بمسح أي رمز يصادفونه دون تردد أو شك.
ويمكن لأي شخص إنشاء رمز استجابة سريعة عبر الإنترنت باستخدام مجموعة من الأدوات المجانية المتاحة، ونظرًا إلى أن جميع رموز الاستجابة السريعة تبدو متشابهة في التصميم، فلا يمكن معرفة ما سيطلبه رمز الاستجابة السريعة من الجهاز حتى يجري مسحه ضوئيًا.
ولا يقتصر الأمر على إنشاء رموز مزيفة، بل يتعداه إلى تصميم مواقع ويب وهمية تحاكي المواقع الأصلية، وقد تحتوي هذه المواقع على طلبات للحصول على أذونات إضافية في الهاتف، أو قد تحاول تثبيت برامج ضارة بشكل خفي.
ولتجنب الوقوع ضحية لهذا الاحتيال، ينصح الخبراء باتباع التعليمات التالية:
تحقق من المصدر قبل المسح
ابحث عن العلامات المادية للتلاعب
لا تمنح الأذونات تلقائيًا
تحقق من عنوان URL قبل المتابعة
كن حذرًا في الأماكن العامة
لا تدخل معلومات حساسة
أوقف تشغيل خاصية NFC في هاتفك في الأماكن العامة (العربية)