Quishing: 눈에 보이지 않는 새로운 위협
Quishing: A growing threat hiding in plain sight
스마트폰은 우리와 함께 어디든 이동하며 다양한 작업을 손쉽게 처리할 수 있게 해줍니다. 이러한 접근성 덕분에 기업들은 모바일 기기를 활용해 새로운 제품과 서비스를 더 직관적으로 소개하고, 여러 산업에서 사용자 경험을 향상시키고 있습니다. 그중에서도 QR(Quick Response) 코드는 대표적인 예로, 이미지를 스캔하는 것만으로 간편하게 웹페이지로 이동하거나 앱을 설치할 수 있게 도와줍니다.
하지만 이 편리한 기술을 활용하는 건 정당한 기업들만이 아닙니다. 사이버 범죄자들도 QR 코드와 NFC(근거리 무선 통신 기술)에 대한 의존도가 높아진 점을 악용해, 의심 없는 사용자들을 대상으로 정교한 공격을 시도하고 있습니다.
Quishing이란 무엇이며, 어떻게 작동하나요?
미국 연방거래위원회(FTC)는 최근 겉보기에는 정당한 QR 코드를 이용해 사용자를 악성 웹사이트나 애플리케이션으로 유도하는 새로운 피싱 공격이 증가하고 있다고 보고했습니다. 이 기법은 "Quishing"이라 불리며, 특히 신뢰할 만한 장소인 소매점, 회사 건물, 잡지나 우편물 등의 마케팅 자료에 QR 코드가 게시될 때 피해자들이 더 쉽게 속아 넘어갈 수 있어 매우 효과적인 것으로 알려져 있습니다.
Our mobile devices go everywhere we go, and we can use them for almost anything. For businesses, the accessibility of mobile devices has also made it easier to create more interactive ways to introduce new products and services while improving user experiences across different industries. Quick-response (QR) codes are a good example of this in action and help mobile devices quickly navigate to web pages or install new software by simply scanning an image.
However, legitimate organizations aren’t the only ones generating QR codes for added convenience. Cyber criminals are also leveraging QR codes and the increased reliance on near-field technology (NFC) to launch sophisticated attacks on unsuspecting victims.
What is quishing, and how does it work?
The Federal Trade Commission (FTC) has reported a rising trend in new phishing schemes where scammers use seemingly legitimate QR codes to send users to malicious websites and applications to carry out various cyberattacks. Termed “quishing,” these techniques can be highly effective, especially when the generated codes are posted in credible places like retail products, business buildings and branded marketing locations like magazines or mailers.
Quishing 공격은 어떻게 이루어질까요?
Quishing 공격이 점점 더 효과적인 이유는 QR 코드 스캔의 편리함, 생성의 용이성, 그리고 익명성 때문입니다. 누구나 온라인에서 간단한 무료 도구를 통해 QR 코드를 만들 수 있고, 모든 QR 코드의 외형이 비슷하기 때문에 스캔하기 전에는 그 코드가 어떤 동작을 수행할지 알기 어렵습니다.
사이버 범죄자들은 주로 악성 웹사이트로 연결되는 QR 코드를 만들어 사용자를 유도합니다. 이러한 사이트에서는 악성 프로그램을 설치하거나, 나중에 사용할 수 있는 추가 권한을 요구할 수도 있습니다. 범죄자들은 이러한 QR 코드를 인쇄해 정당한 QR 코드 위에 덧붙이는 방식으로 신뢰를 얻으려 합니다. 사람들은 QR 코드를 스캔할 때 의심 없이 보안 경고를 무시하고, 더 쉽게 앱이나 서비스를 이용하려는 경향이 있습니다.
Quishing의 주요 표적은 누구일까요?
QR 코드가 처음 등장했을 때는 이를 제대로 아는 사람이 적었지만, 이제 대부분의 스마트폰이 NFC 기술을 지원하면서 QR 코드는 광고와 편리한 사용자 경험을 제공하는 수단으로 널리 사용되고 있습니다. 이로 인해 사이버 범죄자들은 QR 코드를 악용한 quishing 공격으로 다양한 취약 계층을 노리고 있습니다. 대표적인 표적은 다음과 같습니다:
- 피싱 공격에 대한 인식이 낮고, 링크를 쉽게 신뢰하는 고령층
- "택배 추적"을 위해 QR 코드를 스캔하는 온라인 쇼핑 이용자
- 구직 과정에서 개인 정보를 제공하는 구직자
- 모바일 뱅킹 앱과 서비스에 높은 권한을 가진 기업 임원
- 주차 미터기에서 자주 QR 코드를 스캔하는 유료 주차 앱 사용자
특히 사람들이 많이 찾는 레스토랑과 카페 같은 공공장소는 quishing 공격의 좋은 타겟이 됩니다. COVID-19 시기에는 비대면 서비스를 위해 QR 코드 사용이 급증하면서 이러한 위험이 더 두드러졌습니다.
QR 코드의 사용이 계속 확산되면서 quishing의 위험성도 함께 커지고 있습니다. 따라서 개인과 기업은 이 같은 피해를 예방하기 위해 충분한 주의와 대비가 필요합니다.
How are quishing attacks carried out?
The reason why quishing attacks have become so effective has to do with the impulsivity associated with scanning QR codes due to user convenience, the ease at which codes can be generated and the anonymity they provide.
Anyone can create a QR code online using a range of free available tools. Since all QR codes look similar in design, there is no telling what a QR code will prompt a device to do until it is scanned.
Cyber criminals will typically generate codes to redirect to malicious websites where they’ll attempt to install malware scripts, or they may try to request additional permissions on the device that can be saved for later use. These codes can then be printed out and pasted directly over legitimate QR codes to make them look like they’re coming from a reputable source.
Many people don’t think twice about scanning these QR codes and will often accept security bypass prompts that show on their devices so they can more easily access the application or services.
Who is most commonly targeted by quishing?
When QR codes first started appearing, not many people knew what they were or even how to use them. However, with most modern mobile devices capable of using NFC technology and the ability to transmit and receive data, they started becoming a popular medium for easy advertising and added convenience for users.
Today, QR codes are commonly used by a variety of individuals, and cyber criminals have used quishing to target susceptible individuals. Many of these include:
- Elderly individuals who are less familiar with phishing tactics and more trusting of the websites they’re taken to
- Online shoppers that use QR codes to “track their packages”
- Job seekers using their mobile devices to provide personally identifiable information (PII) as part of the “application” process
- Business executives whose devices are typically registered with higher levels of access to mobile banking applications and services
- Individuals using paid parking mobile applications frequently scan QR codes at various parking meters around the city
Frequently visited public establishments like restaurants and coffee shops are prime targets for quishing victims. Many of these risks became more apparent during COVID-19 when QR codes were heavily relied on as a way to avoid unnecessary contact when using physical menus or making payments.
As the trend in QR code use has continued, the dangers of quishing have only increased over the years. Individuals and businesses should take proper precautions to avoid being victimized.
QR 코드 스캠을 예방하는 방법
미국 연방거래위원회(FTC)는 quishing 공격으로부터 보호받기 위해 다양한 예방법을 제시하고 있습니다. 주요 팁은 다음과 같습니다:
- 스캔 전에 확인하기: QR 코드는 편리하게 사용할 수 있지만, 그만큼 위험도 잠재되어 있습니다. 새로운 QR 코드를 스캔하기 전에는 반드시 신뢰할 수 있는 출처에서 온 것인지 확인하세요. 특히 QR 코드가 기기에 특정 권한을 요청한다면 더욱 신중하게 접근해야 합니다.
- QR 코드의 외관 체크하기: 공공장소에서 QR 코드를 스캔할 때는 훼손된 흔적이 있는지 주의 깊게 살펴보세요. 모든 QR 스티커가 악의적인 것은 아니지만, 픽셀이 깨져 있거나 위치가 어긋나 있는 경우 의심해볼 필요가 있습니다. 이상해 보이는 코드는 그냥 스캔하지 않는 것이 좋습니다.
- URL 확인하기: 대부분의 스마트폰은 QR 코드를 스캔할 때 리디렉션될 URL을 미리 보여줍니다. QR 코드가 연결된 사이트나 애플리케이션이 올바른지 확인하는 데 시간을 들이세요. 이를 통해 피싱 사이트로의 접속을 막을 수 있습니다.
- 예고 없는 QR 코드 요청 경계하기: 갑자기 이메일로 QR 코드를 스캔하라는 요청이 오면 의심해보세요. 특히 용도나 목적에 대한 설명이 부족한 경우 주의가 필요합니다. 진짜인지 확신이 서지 않는다면 해당 비즈니스에 직접 문의하거나, 리디렉션 링크 대신 공식 웹사이트를 직접 방문하는 것이 안전합니다.
- NFC 기능 꺼두기: NFC 기능은 사용하지 않을 때 꺼두는 것이 좋습니다. 이를 통해 기기 간의 불필요한 데이터 전송을 방지할 수 있고, 공공장소에서 무심코 QR 코드를 스캔하는 일을 줄일 수 있습니다.
편리함이 방심을 불러오지 않도록 주의하세요
QR 코드는 앱 설치나 정보 제공 등 다양한 용도로 편리하게 사용되고 있지만, 이 편리함이 경계를 낮추게 해서는 안 됩니다.
항상 주의를 기울이고 위의 예방 수칙을 지킨다면, 개인과 기업 모두 quishing 공격의 피해를 효과적으로 줄일 수 있습니다.
How to stay protected from QR code scams
The FTC has provided various strategies organizations can follow to help protect themselves from quishing schemes. These include:
- Think before you scan: It’s important to recognize that while convenient and easy to use, QR codes can present hidden dangers. Before scanning a new code, make sure that you’re only scanning codes from reputable sources. This is especially the case if the QR code requires access to certain permissions on your mobile device to function properly.
- Look for physical signs of tampering: When using QR codes in public places, you should look for physical signs of tampering. While not all QR stickers need to be considered malicious, you should inspect them carefully to see if they’re pixelated or out of alignment. If it looks suspicious, simply don’t scan it.
- Inspect URLs before using them: Most mobile devices will have security protocols in place that let you inspect an attempted URL redirect before you agree to navigate the site. Take the time to ensure the QR code you scanned is taking you to the correct site or mobile application it should.
- Be cautious of unsolicited QR requests: Receiving unsolicited emails from seemingly legitimate websites with a request to scan QR codes should be treated cautiously. Being told to scan a QR code with little context about what it’s being used for should be a red flag. If you’re unsure of legitimacy, contact the business or go directly to their website without using any redirect links.
- Keep NFC turned off when not in use: As a good rule of thumb, it’s recommended that you keep your NFC turned off when not in use. This helps to protect against sharing any data between devices without your consent and will help to avoid being overly impulsive when scanning public QR codes without careful consideration.
Don’t let added convenience lower your guard
QR codes are a convenient way of installing applications and getting more information about different brands and services. However, it’s important not to let the convenience of scanning a QR code cloud your good judgment when protecting your privacy.
By staying alert and following the guidelines discussed, you and your business will be better protected from becoming victimized by quishing schemes.
https://securityintelligence.com/articles/quishing-growing-threat-hiding-plain-sight/
QR Code | QR Code security | QR codes | quishing | Mobile