큐싱(Qushing)

  QR코드와 피싱(Fishing)의 합성어인 큐싱은 QR코드를 이용한 해킹을 의미합니다.코로나 19이후로 QR코드 활용 문화가 확산되며 QR코드 사기인 큐싱 범죄가 늘고있습니다.기존의 피싱수법들이 사용자들에게 널리 알려져 QR코드를 활용한

새로운 악성코드 유포,개인정보 탈취 방식이 등장하였습니다.파밍(Pharmming)은 PC의 금융정보를, 큐싱은 스마트폰

금융정보를 노린다는 것이 특징입니다.

  공격의 기본 요소는 해커가 이메일을 퍼뜨리는 공격과 다르지 않습니다.그러나 QR코드의 경우는 시각적으로 구별하는 것은 거의 불가능 하여 정상 QR코드인지 알 수 있는 방법이 없습니다.자료를 보면 69%의 사람들은 악성URL을 식별 할 수

있었지만, 악성 QR코드는 오직 39%만이 식별할 수 있었습니다. 사실,대부분의 사람들은 QR코드를 통해 사기가 발생할 수 있다는 사실조차 모르고 어디를 가든지 스캔합니다.때문에 이메일 기반의 피싱 공격보다 QR코들 기반 공격이 성공 가능성이 비교적 더 큽니다.공격자는 정품 QR코드를 악성 QR코드로 교체하거나 전략적으로 악성 QR 코드를 공공 장소에 남겨

두어 이를 활용할 수 있습니다.

 

• 오프라인에서의 물리적 큐싱 공격

  오프라이에서의 물리적 큐싱 공격 (출처: qrcode-tiger ) 공격자는 QR코드의 바코드에 악성 링크를 삽입합니다.스캔 후 링크는 세부 정보를 요청하고 공격자가 정보를 훔칠 수 있는 페이즈로 연결됩니다.물리적 영역에서 악성 QR코드는 기업 사무실, 기업 및 정부 서비스 지점의 벽에 있는 실제 QR코드를 대체합니다.물리적 QR코드 피싱은 호텔, 쇼핑몰 및 등의 환경에서도 발생할 수 있습니다.예를 들어,병원이나 의료 센터에 있고 누군가가 벽에 QR스티커를 부착했다고 가정합니다.이

경우 일반 사용자는 해커가 붙이고 간 악성 QR코드라고 생각하지 않을 것입니다.

이러한 형태의 소셜 엔지니어링 공격이 사람들의 개인 데이터를 훔치려는 사이버 범죄자들 사이에서 인기를 얻고 있습니다.악성 QR코드를 스캔한 경우 공격자가 알려진 브랜드를 가장한 정상적으로 보이는 웹사이트와 로고를 만들기 때문에

큐싱 공격을 발견하기 어려울 수 있습니다.또한 피해자의 장치에 멀웨어를 자동으로 다운로드하도록 구성하여 공격자가 중요한 정보를 훔치거나 장치를 제어할 수 있도록 할 수 있습니다.

 

QR코드는 이미 다양한 산업 분야에서 입증된 뛰어난 기술이지만,이메일,SMS 및 기타 기술에 침투하는 피싱 수법과 마찬가지로 QR코드를 사용하여 순진한 모바일 사용자를 속이고 있습니다.이러한 QR코드 사기는 다음과 같은 간단한 팁을 따르면 피할 수 있습니다.

• 큐싱 위협 예방 방법

1. 출처가 확실하지 않은 QR코드는 스캔하지 않는 것이 좋으며,QR코드를 스캔할 경우 웹 주소가 이상하지 않은지 한번더 확인합니다.
2. 모바일 전용 보안 앱이나 스미싱 탐지 앱을 설치하고, 최신버전을 유지하는 것이 중요합니다.QR코드로 들어간 사이트의 로그인, 개인 또는 금융 정보를 입력할 때에는 주의 해야 합니다.
3. QR코드에서 앱을 다운받지 않습니다.더 안전한 다운로드를 위해 휴대폰의 앱스토어를 사용합니다.
4. 아는 사람에게서 온 것으로 생각되는 QR코드를 받은 경우 해당 사람에게 연락하여 한번 더 확인합니다.
5. QR코드를 통해 결제를 완료하라는 통지를 받으면 회사 웹사이트에 전화하거나 접속하여 확인해 봅니다.

출처]

한국재정정보원: 주요 이슈 및 통계 - QR코드를 이용한 범죄 큐싱 상세화면 | 한국재정정보원 > 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 주요 이슈 및 통계 (fis.kr)