Особенность QR-кодов в том, что средства ИБ не воспринимают их как спам, потому что не могут считать вложенную в них ссылку. Из-за этого массовые фишинговые рассылки успешно доходят до адресата, минуя корпоративную защиту. Пользователи, в свою очередь, сканируют QR-код камерой мобильного телефона, где не всегда обращают внимание на ссылку (в мобильном браузере она не бросается в глаза). Из-за этого они не могут распознать фишинговый сайт.

Также преступники могут размещать QR-коды на физических носителях – визитках, рекламных плакатах, листовках. Таким образом, разместив подобную листовку рядом с офисом организации, которую планируется атаковать, преступникам достаточно дождаться момента, когда кто-нибудь их сотрудников отсканирует фишинговую ссылку.

Таким образом, хакеры могут обойти физическую защиту компаний. К тому же большинство пользователей доверяют QR-кодам и не видят в них угрозы.

Согласно отчету компании Abnormal Security, которая специализируется на защите электронной почты, в 4 квартале 2023 года руководители бизнеса сталкивались с фишинговыми атаками, в которых использовался QR-код в 42 раза чаще, чем обычные сотрудники. Это указывает на целенаправленные действия преступников - они в первую очередь ориентируются на людей с высокими правами доступа.

Чаще всего QR-коды приходили как уведомления о многофакторной аутентификации (27% случаев) или фальшивое уведомление о совместном доступе к документам (21% атак). Основная цель хакеров – кража учетных данных (логин и пароль), для последующего доступа к корпоративным системам.

Один из вариантов защиты от такого типа атак – блокировка всех писем с QR-кодом. Однако многие отправители используют его в автоподписях. В итоге много легитимных писем могут не дойти до получателей.

Лаборатория Касперского отметила, что в последнее время регистрируется гораздо меньше подобных атак. Однако, учитывая простоту и их возможности по проникновению, рекомендуется обучить сотрудников бизнеса предосторожностям при сканировании QR-кодов.