Розмір шрифта: 

У роботі досліджено впровадження QR-кодів у сучасні інформаційні системи, що створює нові вектори кіберзагроз, пов’язаних із порушенням конфіденційних даних користувачів . Одним із найнебезпечніших методів реалізації цих загроз є квішинг (quishing), який поєднує методи соціальної інженерії з перенаправленням на шкідливі ресурси. Проаналізовано механізми атак «зловмисник посередині» (Adversary-in-the-Middle, AitM), в яких QR-коди використовуються для обходу багатофакторної автентифікації (MFA) та перехоплення сесійних файлів cookie. Розглянуто технічні засоби спуфінг-атак, зокрема використання вразливостей у відкритих системах перенаправлення та фільтрації трафіку (TDS). Систематизовано типові сценарії використання шкідливих QR-кодів у фінансових послуг та систем. Крім того, запропоновано рекомендації щодо підвищення безпеки мережевої інфраструктури та обізнаності користувачів

ANALYSIS OF QR CODE SECURITY AND RESEARCH ON QR PHISHING ATTACKS INVOLVING MAN-IN-THE-MIDDLE TECHNIQUES

Abstract
The paper examines the implementation of QR codes in modern information systems, which creates new vectors of cyber threats related to the violation of users' confidential data. One of the most dangerous methods of implementing these threats is quishing, which combines social engineering methods with redirection to malicious resources. The mechanisms of “Adversary-in-the-Middle” attacks (AitM) are analyzed, in which QR codes are used to bypass multi-factor authentication (MFA) and intercept session cookies. The technical means of spoofing attacks are considered, in particular, the use of vulnerabilities in open traffic redirection and filtering systems (TDS). Typical scenarios of the use of malicious QR codes in financial services and systems are systematized. In addition, recommendations are proposed for improving the security of network infrastructure and user awareness.

QR-коди; кібербезпека; квішинг; фішинг; Adversary-in-the-Middle (AitM); багатофакторна автентифікація (MFA); перехоплення сесії; соціальна інженерія; QR codes; cybersecurity; quishing; phishing; Adversary-in-the-Middle (AitM); multi-factor authentication;