QR-kod ortidagi ko‘rinmas tahdid: Quishing hujumlaridan qanday himoyalanish mumkin?

Raqamli texnologiyalar rivojlanishi bilan hayotimiz tobora qulaylashib bormoqda. Bugungi kunda restoran menyusini ochish, avtoturargoh uchun to‘lov qilish, mahsulot haqida ma’lumot olish, mobil ilovani yuklab olish yoki elektron to‘lovni amalga oshirish uchun birgina QR-kodni skanerlash kifoya. Bir necha soniya ichida kerakli sahifa ochiladi va ishimiz tezda bitadi.

Ammo aynan mana shu qulaylikdan kiberjinoyatchilar ham o‘z manfaatlari yo‘lida foydalanmoqda. So‘nggi yillarda QR-kodlardan foydalangan holda amalga oshirilayotgan firibgarliklar soni keskin ortib bormoqda. Kiberxavfsizlik mutaxassislari bu turdagi hujumlarni Quishing (QR + Phishing) deb atashadi.

Quishing nima?

Quishing – bu QR-kod orqali foydalanuvchini soxta veb-saytga yo‘naltirish va uning shaxsiy yoki moliyaviy ma’lumotlarini qo‘lga kiritishga qaratilgan fishing hujumidir.

Oddiy fishing xatlarida zararli havola matn ko‘rinishida bo‘ladi va foydalanuvchi uni hech bo‘lmaganda ko‘zdan kechirishi mumkin. QR-kodda esa havola oddiy ko‘z bilan ko‘rinmaydi. U faqat telefon kamerasi yoki QR-skanner yordamida o‘qilgandan keyingina ochiladi. Shu sababli ko‘pchilik foydalanuvchilar havolaning haqiqiy yoki soxta ekanligini tekshirmasdan unga ishonadi.

Aynan mana shu ishonch firibgarlarning eng katta ustunligiga aylanmoqda.

Nega QR-kodlar orqali hujumlar ko‘paymoqda?

Bugungi kunda deyarli har bir inson kun davomida bir necha marotaba QR-koddan foydalanadi. Restoran menyulari, avtoturargoh terminallari, reklama bannerlari, davlat xizmatlari, bank ilovalari va elektron to‘lov tizimlari QR-kodlardan keng foydalanmoqda.

Shu sababli foydalanuvchilarda «QR-kod xavfsiz» degan noto‘g‘ri tasavvur shakllangan. Kiberjinoyatchilar esa aynan mana shu psixologik omildan foydalanmoqda.

Tahlillarga ko‘ra, 2025-yil davomida dunyo bo‘ylab millionlab zararli QR-kodli fishing hujumlari aniqlangan. Ayrim hisobotlarda bunday hujumlar soni bir necha oy ichida besh baravarga oshgani qayd etilgan. Bu esa Quishing bugungi kunda eng tez rivojlanayotgan kiberxavflardan biriga aylanganini ko‘rsatadi.

Firibgarlar qanday ishlaydi?

Quishing hujumi odatda bir necha bosqichda amalga oshiriladi.

Avvalo hujumchi mashhur kompaniya, bank yoki davlat tashkilotining rasmiy sahifasiga juda o‘xshash soxta veb-sayt yaratadi. Keyin ushbu saytga olib boruvchi QR-kodni tayyorlaydi.

So‘ngra zararli QR-kod turli yo‘llar bilan foydalanuvchilarga yetkaziladi. Masalan:

  • elektron pochta xabarlari;
  • PDF yoki Word hujjatlari;
  • Telegram va boshqa messenjerlar;
  • reklama bannerlari;
  • restoran menyulari;
  • avtoturargoh terminallari;
  • savdo markazlari;
  • pochta orqali yuborilgan xatlar.

Foydalanuvchi QR-kodni skanerlagach, telefon brauzeri avtomatik ravishda soxta saytni ochadi. Sayt esa foydalanuvchidan login va parolini, bank kartasi ma’lumotlarini yoki boshqa maxfiy axborotlarni kiritishni so‘raydi.

Ba’zi hollarda esa foydalanuvchiga «yangilanish», «to‘lov ilovasi» yoki «xavfsizlik dasturi» nomi ostida zararli mobil ilovani yuklab olish taklif etiladi.

Nima uchun bunday hujumlarni aniqlash qiyin?

Ko‘pchilik elektron pochta xizmatlari zararli havolalarni aniqlay oladi. Ammo QR-kod oddiy rasm ko‘rinishida yuborilgani sababli xavfsizlik tizimlari uning ichida qanday havola yashiringanini har doim ham aniqlay olmaydi.

Bundan tashqari, foydalanuvchi QR-kodni shaxsiy telefoni orqali skanerlaganida korxona yoki tashkilotning xavfsizlik tizimlari ham chetlab o‘tiladi. Natijada hujumchi himoyalangan kompyuterga emas, balki nazorat qilinmaydigan mobil qurilmaga hujum qiladi.

Hayotiy misollar

Tasavvur qiling, siz avtomobilingizni pullik avtoturargohga qo‘ydingiz. To‘lov qilish uchun terminaldagi QR-kodni skanerladingiz. Sahifa ochildi va bank kartangiz ma’lumotlarini kiritdingiz.

Oradan bir necha daqiqa o‘tib kartangizdan noma’lum xarajatlar amalga oshirilganini bilib qoldingiz.

Keyinchalik ma’lum bo‘lishicha, firibgarlar terminaldagi asl QR-kod ustiga o‘zlari tayyorlagan stiker yopishtirib ketishgan.

Yoki restoran menyusini ochish uchun QR-kodni skanerlaysiz. Menyu o‘rniga «chegirma olish» yoki «to‘lovni tasdiqlash» sahifasi ochiladi. Sizdan bank kartasi rekvizitlari so‘raladi.

Elektron pochta orqali esa «Microsoft akkauntingiz bloklanmoqda», «Maosh bo‘yicha yangi ma’lumot», «Mukofot puli», «Hisob-faktura tasdiqlanishi kerak» kabi mavzularda QR-kodli xatlar yuboriladi. Foydalanuvchi kodni skanerlagach, Microsoft yoki Google sahifasiga o‘xshash soxta saytga yo‘naltiriladi va login-parolini kiritishi bilan akkaunti firibgar qo‘liga o‘tadi.

Firibgarlar nimalarni qo‘lga kiritishga harakat qiladi?

Quishing hujumlari orqali quyidagi ma’lumotlar o‘g‘irlanishi mumkin:

  • elektron pochta akkauntlari;
  • Microsoft 365 yoki Google akkauntlari;
  • bank kartasi rekvizitlari;
  • internet-banking ma’lumotlari;
  • shaxsiy identifikatsiya ma’lumotlari;
  • VPN va korporativ tizimlarga kirish ma’lumotlari;
  • mobil qurilmadagi kontaktlar, SMS va boshqa shaxsiy ma’lumotlar.

Bunday ma’lumotlar keyinchalik moliyaviy firibgarlik, shaxsni soxtalashtirish, korporativ tarmoqlarga kirish yoki tovlamachilik hujumlarida foydalanilishi mumkin.

QR-kodning soxtaligini qanday aniqlash mumkin?

Har qanday QR-kodni skanerlashdan oldin uning joylashgan joyiga e’tibor bering.

Agar QR-kod stiker ko‘rinishida yopishtirilgan bo‘lsa yoki uning dizayni boshqa elementlardan ajralib tursa, undan foydalanmang.

QR-kodni skanerlaganingizdan so‘ng telefon ekrani ochiladigan internet manzilini ko‘rsatadi. Shu vaqtda domen nomini diqqat bilan tekshiring. Biror harfi almashtirilgan yoki g‘ayrioddiy belgilar mavjud bo‘lsa, sahifani ochmang.

Agar sayt sizdan hech qanday sababsiz login, parol, bank kartasi yoki shaxsiy ma’lumotlarni talab qilayotgan bo‘lsa, bu firibgarlik alomati bo‘lishi mumkin.

O‘zingizni qanday himoya qilishingiz mumkin?

Eng avvalo, noma’lum manbalardan kelgan QR-kodlarni skanerlamang. Elektron pochta yoki messenjer orqali yuborilgan QR-kodlarga ehtiyotkorlik bilan yondashing.

Jamoat joylaridagi QR-kodlarni ishlatishdan oldin ular asl holatda ekanligiga ishonch hosil qiling.

Imkon qadar restoran, bank yoki avtoturargoh xizmatlari uchun QR-kod o‘rniga ularning rasmiy mobil ilovalaridan foydalaning.

Telefon operatsion tizimi va ilovalarni muntazam yangilab boring, ikki bosqichli autentifikatsiyani yoqing hamda ishonchli mobil antivirus dasturlaridan foydalaning.

Eng muhimi, QR-kod orqali ochilgan sahifada shoshilinch ravishda login, parol yoki bank kartasi ma’lumotlarini kiritishga hech qachon shoshilmang. Bir necha soniya vaqt ajratib internet manzilini tekshirish sizni katta moliyaviy zarar va shaxsiy ma’lumotlaringiz yo‘qotilishidan saqlab qolishi mumkin.

QR-kodlar zamonaviy hayotning ajralmas qismiga aylangan bo‘lsa-da, ular mutlaqo xavfsiz degani emas. Bugungi kunda kiberjinoyatchilar QR-kodlardan foydalanuvchilarning ishonchini suiiste’mol qilish, bank kartalari ma’lumotlarini o‘g‘irlash, akkauntlarni egallash va mobil qurilmalarga zararli dasturlarni o‘rnatish uchun faol foydalanmoqda.

Shuni unutmang: QR-kodning o‘zi emas, balki u olib boradigan manzil xavf tug‘diradi. Har safar QR-kodni skanerlaganingizda ochilayotgan internet manzilini tekshirish, shubhali sahifalarda shaxsiy ma’lumotlarni kiritmaslik va faqat ishonchli manbalardan foydalanish sizni Quishing hujumlaridan himoya qiladigan eng samarali choralar hisoblanadi.