QR code attacks probably aren’t coming for your scan-to-order menus

20.12.2023 18:30

Engadget

QR code-based phishing attacks appear to be on the rise. For this “new” hacking vector, someone gets a phishing email asking them to scan a QR code, that code redirects to a malicious link (usually to steal credentials) and an account takeover occurs. Local news organizations have warned the public to watch out, security leadership publications tell executives to be careful and security companies really, really want you to call it quishing.

To be fair, there have been some notable headlines about it lately. A large-scale version of this against an unnamed “major” US energy company went after Microsoft logins, according to a Cofense report in August. Security researchers have unanimously reported some level of uptick or spike in the attack vector this year. Even the Federal Trade Commission warned consumers of the dangers.

The fanfare around these attacks, however, mostly outweighs the threat of using QR codes in your daily life. Phishing has been, and will likely always be, a prevalent way to trap victims, and what we’re seeing when people talk about QR code attacks is just another way to do that. That’s why despite how the reports may generalize the dangers of QR codes as a whole, some common sense security practices that you already use to avoid phishing can help you avoid this tactic, too. Other, advanced QR-based attack vectors outside of phishing are likely too technically complicated and low reward for bad actors to attempt, or for you to worry about.

Phishing attacks that work by pointing a victim to a malicious link are incredibly common, and QR codes are essentially just another way to execute them. QR codes are “jumping into a security gap,” said Randy Pargman, director of threat detection at security firm Proofpoint. It forces a victim away from their computer and onto a cell phone or another device, adding a level of distraction. Plus, people are more likely to fall for a phishing link on a mobile device, according to Pargman.

The smaller scale makes it harder to tell what’s legit, for example you can’t easily see a full link to point out discrepancies, and we generally tend to feel safer in our handheld world. Scanning a QR code on a phone takes a victim away from their computer. That could mean it has fewer security plugins installed on its browser that would warn you to stay away from suspicious sites, although more browsers have automatic protections against both. Or, if it's taking you from a work device to a personal device, a security team probably supports the computer, but not your cell phone, with extra protections in place to stop you from falling victim. But on the flip side, this is a lot less efficient for scammers to set up. It assumes the victim has access to two devices, rather than just clicking a link.

Plus, people tend to scan the QR codes, even if they’re from an unfamiliar source, because we’re so used to it, according to Fae Carlisle, principal security engineer at cybersecurity company Carbon Black. “People are regularly told to scan a QR code to show them a map of a place, to vote in a competition, to visit Instagram, etc,” Carlisle said. “Because of inherent trust, people go along with it.” Hackers seemingly saw this trend and figured out they could exploit it.

While the application of QR codes to phishing attacks is fairly straightforward, the hype around their use in other malicious vectors mostly ends there. Security professionals advise against scanning unknown QR codes, in the same way you shouldn’t plug a random thumb drive into your device. But, while you should always be on guard to protect against phishing attacks, you don’t really have to worry about using QR codes in your daily life because it’s still rare to see them used as a hacking tactic.

This matters because when we think of QR codes, we don’t usually think of getting them in emails. You’re probably more familiar with them from real world interactions, like a call to action on a flier or a scan-to-order menu at a restaurant. Looking at my own inbox and desktop, the instances of getting a QR code are few and far between, with maybe the exception of some multifactor authentication apps and cross-login for VPNs. Basically, for a hacker going after everyday targets, the less effort the better, and plastering a poisoned QR code all over physical space in the hopes someone will scan it is a whole lot of work, according to Pargman. Bulk sending phishing emails is just a heck of a lot more efficient.

While it’s also possible to imagine a link takeover situation, where the destination of legitimate QR codes is redirected to a malicious URL, that really hasn’t been seen yet. Not only is it a lot of effort, but it would require an attacker to identify a widely-used QR code. That would mean sourcing the code information, and then hoping it was worth the work. “Quishing” may be legit, but avoiding QR codes at all costs probably goes a step too far.

If something seems off about scanning a QR code, pause before proceeding. “If you're scanning a menu of the restaurant's and it's asking you to login to your Gmail account to access the menu, that's a highly unexpected step,” said Olesia Klevchuk, product marketing director at security company Barracuda Networks. “Those are the kinds of things we want to be on the lookout for.” But if you just want to learn more about an exhibit at a museum or have a contactless check-in at the gym, you probably have nothing to worry about.

This article originally appeared on Engadget at https://www.engadget.com/qr-code-attacks-probably-arent-coming-for-your-scan-to-order-menus-153006742.html?src=rss

Партнёры Smi24.net

Все новости за 24 часа

Life24.pro

Антитела альпак помогли ученым создать новые методы лечения рака

Рок-фестиваль «Окна Открой» в Петербурге: возвращение звезд и открытие новых талантов

Концерт Тимберлейка в Стамбуле превратился в хаос: Мот рассказал о давке, сломанных заборах и драках

Уровень медицины в Некрасовке растет

Today24.pro

3 Terrifying Horror Series To Watch Ahead Of HBO’s ‘It: Welcome to Derry’

Palestinian envoy urges action at UN: “History will judge us all”

AI talent comes at a 30% salary premium: ‘If you try to play catch up later, this is going to cost you even more’

Report: Liverpool decision hands advantage to Man United in midfielder pursuit

News24.pro

В России прекратили выпуск мини-грузовиков через 5 месяцев после запуска. Что это было?

Впервые в Луганске: детский благотворительный фестиваль «Добрая волна» подарит надежду и вдохновение

Northern Cardinal male - Красный кардинал самец

Сотрудниками полиции и Росгвардии задержан гражданин, причастный к поджогу релейного шкафа в Архангельской области

Game24.pro

The US Air Force wants to test blowing up Cybertrucks because 'it is likely the type of vehicles used by the enemy may transition to Tesla Cyber trucks'

New study shows that Gen Z is spending way less money on videogames than older gamers

Открыты сервера MMORPG ROM: Golden Age

Первый взгляд на мобильную версию Neon Spellstorm

Ua24.pro

Овочі можусть стати розкішшю для українців

Овочі можуть стати розкішшю для українців

Russia24.pro

Тариф — ноль. «Выберу.ру» составил рейтинг бесплатных кредитных карт за июль 2025 года

Впервые в Луганске: детский благотворительный фестиваль «Добрая волна» подарит надежду и вдохновение

EVITA BEAUTY STORE - интернет-магазин косметики премиум-класса

Почему у канализационной системы должен быть выход на крышу?

News-life

Разумная экономия и улучшенный вкус: Познакомьтесь с совершенно новым VOOPOO VMATE PRO2

Грачья Погосян: достойный пример гуманизма и патриотизма (к 55-летию известного благотворителя)

Кубок Федерации: спортивный праздник в формате светского пикника под музыку Relax FM

Эксперт Жилфонда: цены на рынке аренды в России уперлись в потолок

Ru24.net

Пожар произошел в административном здании в подмосковном Щелково

Хирурги в Москве спасли жизнь 43-летнему мужчине, ампутировав нижнюю часть тела

«Птицы любви»: песня, в которой слышно биение двух сердец — матери и дочери

Ташиев вручил 1 млн военному, ослепшему из-за ранения во время конфликта на границе

News.tennis

Теннисист Медведев проиграл австралийцу Уолтону и выбыл из турнира Цинциннати

Калинская обыграла Анисимову в третьем круге турнира WTA в Цинциннати

Хачанов пробился в четвертый раунд турнира Мастерс в Цинциннати

Павлюченкова уступила во втором круге турнира WTA 1000 в Цинциннати

29ru.net

ВЦ «Раздолье» проведет бесплатный вебинар «Динамическая структура заказа в 1С:ERP»

Сотрудники отдела лицензионно-разрешительной работы по городу Королеву передали добровольно сданное охотничье оружие в зону проведения СВО

Кубок Федерации: спортивный праздник в формате светского пикника под музыку Relax FM

«Птицы любви»: песня, в которой слышно биение двух сердец — матери и дочери

Музыкальные новости

Poisk-music.ru

Шутка ли? Анастасия Волочкова заявила о скорой свадьбе с шейхом

Продвижение Песни в Импульсе Яндекс Музыка.

Волочкова сообщила, что ее хотели похитить

Турагент из Тулы обманула больше 200 желающих поехать на концерты Меладзе и Шуфутинского

Ria.city

Кубок Федерации: спортивный праздник в формате светского пикника под музыку Relax FM

Почему у канализационной системы должен быть выход на крышу?

EVITA BEAUTY STORE - интернет-магазин косметики премиум-класса

Тариф — ноль. «Выберу.ру» составил рейтинг бесплатных кредитных карт за июль 2025 года

Rss.plus

В России объяснили скорую организацию встречи Путина и Трампа

Команда из Удмуртии заняла призовое место на Чемпионате Приволжского округа Росгвардии по мини-футболу

Каждый второй работодатель сталкивался с трудностями из-за ухода сотрудника в декрет

CNN: встреча Путина и Трампа пройдет на военной базе в Анкоридже

Auto.russia24.pro

Отзывы о франшизе «Автополка»

Выбор подходящей франшизы автозапчастей

Преимущества франшизы «Автополка»

Быстрый старт в прибыльном бизнесе по продаже автозапчастей

Putin.russia24.pro

Ким Чен Ын подтвердил Путину неизменную поддержку КНДР в отношении России

Европейцы выразили разочарование из-за недостатка ясности со стороны Уиткоффа

СМИ: американские чиновники рады решению Путина посетить Аляску

«Трампу надо соглашаться»: сейчас у Путина наименьшее количество требований за все время – итальянские СМИ

Health.russia24.pro

Хирурги в Москве спасли жизнь 43-летнему мужчине, ампутировав нижнюю часть тела

Хирурги в Москве спасли жизнь пациента редкой ампутацией нижней части тела

Клинический психолог Юлия Тарибо: психологические последствия удаленной работы и способы их преодоления

КГ PROGRESS: в Перми работают самые опытные стоматологи в России

Zelensky.russia24.pro

Зеленский пригрозил «третьей мировой войной» в случае давления на Киев в вопросе уступок территорий

Sport.russia24.pro

Журова о возвращении граждан, сменивших гражданство: «Практически невозможно»

Street Boxing

Сотрудники и военнослужащие Росгвардии обеспечили безопасность футбольного матча

Кубок Федерации: спортивный праздник в формате светского пикника под музыку Relax FM

Person.russian.city

Собянин: Создадим условия для развития технологичных предприятий

Депутат ГД Останина запросила у мэра Москвы данные о причинах закрытия роддомов

Сергей Собянин: Герои — не какие-то особенные люди, они живут рядом с нами

Новый путепровод свяжет три района северо-востока Москвы – Сергей Собянин

Ecology.russia24.pro

Погода сошла с ума? Главный синоптик России Вильфанд предупреждает: аномалий будет все больше - то в жар, то в холод

В Канаде зафиксировано ухудшение ситуации с лесными пожарами

Экологи требуют ограничения роста цен на авиабилеты по окончании школьных каникул

29ru.net

ВЦ «Раздолье» проведет бесплатный вебинар «Динамическая структура заказа в 1С:ERP»

Сотрудники отдела лицензионно-разрешительной работы по городу Королеву передали добровольно сданное охотничье оружие в зону проведения СВО

Впервые в Луганске: детский благотворительный фестиваль «Добрая волна» подарит надежду и вдохновение

SUPER WEEKEND: денежные выходные с «Авторадио»

Severodvinsk.ws

Беспроводной сканер штрих-кодов SAOTRON P05i промышленного класса

Орловская область планирует войти в число национальных туристических маршрутов с проектом «Бирюзовое кольцо России»

Универсальный ТСД промышленного класса Saotron RT-T40X V.2

Заместитель прокурора Архангельской области и Ненецкого автономного округа Павел Матанцев проверил ход ремонтных работ в школе № 1 г. Нарьян-Мара

Sevpoisk.ru

Прогноз погоды в Крыму на 11 августа

Прогноз погоды в Крыму на 13 августа

Прогноз погоды в Крыму на 12 августа

Историко-краеведческая выставка «Древности земли крымской»

103news.com

SUPER WEEKEND: денежные выходные с «Авторадио»

Сотрудники Коломенского отдела вневедомственной охраны Главного управления Росгвардии по Московской области задержали любителя кофе, который решил сэкономить на покупке ароматного напитка

Тариф — ноль. «Выберу.ру» составил рейтинг бесплатных кредитных карт за июль 2025 года

Сотрудники отдела лицензионно-разрешительной работы по городу Королеву передали добровольно сданное охотничье оружие в зону проведения СВО

Агрегатор новостей 24СМИ