Po co udoskonala się nowoczesne technologie? Aby jak najbardziej uprościć życie. Kody QR, które bardzo często widzimy na różnego rodzaju materiałach drukowanych czy stronach internetowych mają ułatwić wyszukanie odpowiednich informacji czy trafienie na wskazany serwis. Niekiedy mogą być jednak bardzo poważnym zagrożeniem. To QRishing. Co należy koniecznie wiedzieć o tego rodzaju oszustwie?
Liczba SCAMów internetowych (czyli oszustw polegających na wyłudzeniu danych, kradzieży tożsamości czy dostępu do konta bankowego lub konta w mediach społecznościowych) bez przerwy rośnie. Oszuści chcą maksymalizować swoje „zyski” coraz prostszymi metodami, których forma jest jednak trudna do wykrycia. Tym cechuje się QRising, który oparty jest na kodach QR.
Czym są kody QR? Kiedy się ich używa?
Kod QR to tzw. kod szybkiej odpowiedzi. Jest specjalnym kwadratowym kodem graficznym, który zawiera wiele przydatnych informacji. Internauci mogą dzięki niemu przejść na określoną stronę internetową, pobrać właściwą aplikację, sprawdzić cenę w supermarkecie i wiele innych! QR to standard powszechny i współpracuje praktycznie z każdym, nowoczesnym urządzeniem.
Tego rodzaju oznaczenia znajdują się często na materiałach fizycznych, umożliwiając np. nadrukowanie cyfrowych odnośników na wielkoformatowych plakatach czy bilbordach. Na tego typu materiałach nie ma sensu pisać adresu strony w formie tekstowej, gdyż… nikt go nie wpisze.
Natomiast osoba, która posiada nowoczesny smartfon może zeskanować kod i przejść do strony internetowej danego wydarzenia lub produktu albo pobrać instrukcję obsługi urządzenia czy poznać hasło do WiFi. Spotyka się również kody QR w wersji cyfrowej, które są alternatywą dla długich i niezrozumiałych linków. Szybki, wirtualny skan takiego znaku i już ściągamy potrzebną nam aplikację. Wygodne, prawda?
Właśnie na wygodzie i funkcjonalności postanowili „zarobić” przestępcy, którzy wymyślili oszustwo na bazie kodów QR, zwane QRishingiem. Co to takiego?
Kody QR używane są np. jako karty pokładowe na lotniskach (fot. pixabay.com)
Jak działa QRishing?
QRishing (znany również jako quishing) to rodzaj phishingu, który wykorzystuje funkcjonalność kwadratowych kodów, aby oszukać potencjalną ofiarę. Zasada działania za każdym razem jest podobna.
- Na materiałach w sieci lub w fizycznej formie (np. na słupach reklamowych) znajdują się kody QR, które zachęcają do skanowania. Mogą zachęcać np. do wzięcia udziału w specjalnej loterii.
- Nieświadomy użytkownik skanuje pozornie niegroźny kod. Niekiedy otrzymuje np. maila przypominającego wiadomość z banku (np. o konieczności aktualizacji danych osobowych). Kod nie przenosi jednak do strony bankowości elektronicznej, a na fałszywą witrynę.
- Hiperłącze wygenerowane przez kod QR przygotowane jest w taki sposób, aby zdezorientowany internauta nie zauważył, że wchodzi w niebezpieczny link.
- Internauta pobiera ze strony aplikację, podaje swoje dane osobowe, przesyła zdjęcie dowodu osobistego lub wpisuje login i hasło do bankowości elektronicznej.
- Złodziej wykorzystuje informacje w celu majątkowym lub przejmuje kontrolę nad urządzeniem elektronicznym (wykorzystując wirusa wgranego przez kod QR).
Od maja zanotowano ponad 500% wzrost oszustw tego rodzaju. Przestępcy zauważyli, że kody QR są dyskretne i nie da się ich rozpoznać, zanim nie odczyta się go przy użyciu smartfonowego skanera. Niestety, tego rodzaju phishing trudno jest rozpoznać, a jego skutki mogą być opłakane dla ofiar.
Czytaj także: Nadprzewodnik działający w temperaturze pokojowej – mistyfikacja czy rewolucja w elektronice i tani prąd?
Czym grozi oszustwo na kody QR?
Zeskanowanie kodu QR wygenerowanego przez oszusta może doprowadzić do bardzo poważnych konsekwencji. Pół biedy jeżeli np. wirus zablokuje dostęp do smartfona albo usunie Ci zgromadzone na nim zdjęcia i aplikacje. QRishing może być naprawdę zgubny w skutkach!
- Utrata oszczędności zgromadzonych na koncie bankowym – przestępca może wgrać aplikację szpiegowską (która ujawni mu login i hasło do elektronicznego systemu bankowego) lub poznać dane wyłudzając je przez stronę przypominającą witrynę banku. Następnie przeleje środki na wybrane przez niego konto (zarejestrowane np. w pozaeuropejskim raju podatkowym).
- Utrata kontroli nad urządzeniem elektronicznym – system może całkowicie zablokować urządzenie, uniemożliwiając np. prowadzenie rozmów telefonicznych czy robienie zdjęć. Usunięcie niektórych wirusów jest bardzo kosztowne i pracochłonne.
- Podsłuch, inwigilacja – wykorzystanie niektórych luk w systemach operacyjnych smartfonów sprawia, że przestępca może przejąć pełną kontrolę nad telefonem, słuchając np. naszych rozmów i czytając wiadomości. To m.in. droga do szantażu.
- Utrata dostępu do kont w mediach społecznościowych – przestępcy starają się przejąć konto w mediach społecznościowych, aby (naszymi rękoma) przeprowadzać kolejne oszustwa.
- Kradzież tożsamości – bardzo groźna sytuacja. Kod QR może prowadzić do strony, na której wymagane jest podanie np. numeru PESEL i danych dowodu osobistego. Przestępca może na takie dane zaciągać kredyty i pożyczki oraz dalej prowadzić działalność przestępczą. Skutki tych działań są niekiedy opłakane i bardzo trudno jest np. umorzyć zaciągnięty przez oszusta kredyt.
Skutki QRishingu (jak widać) mogą być tak samo druzgocące, jak każdej innej formy ataku typu phishing. W grę wchodzi kradzież oszczędności życia, a nawet więcej. Warto pamiętać o skutkach, wchodząc na jakąkolwiek, nieznaną nam stronę internetową.
QRishing używa kodów QR, aby przekierować nas np. na zainfekowaną stronę (fot. pixabay.com)
W jaki sposób chronić się przed tego typu SCAMem?
Najważniejsza jest oczywiście zasada ograniczonego zaufania. Nie skanuj kodów QR z nieznanych źródeł. Materiały, na których znajdują się takie elementy powinny być wiadomego pochodzenia. Nie wierz w łatwy zarobek czy loterie z ogromnymi nagrodami, jeżeli nie znasz ich faktycznego źródła.
Weryfikuj adresy mailowe, z których otrzymujesz podejrzane wiadomości zawierające kody QR. Staraj się nie otwierać maili, które wyglądają na niebezpieczne. Jeżeli widzisz, że nadawca odnosi się w treści do banku, skontaktuj się z placówką w celu weryfikacji wskazanych tam informacji. Unikaj też szerokim łukiem, wszelkich „rewelacji” dotyczących ogromnej wygranej, loterii, spadków, darowizn i podobnych.
Zainstaluj też nowoczesne oprogramowanie chroniące, które natychmiast wykryje próbę SCAMu. To m.in. firewalle czy programy antywirusowe. W razie pobrania szkodliwych aplikacji antywirus natychmiast zablokuje jego działanie.
Co zrobić, jeżeli padliśmy już ofiarami ataku? Należy niezwłocznie zgłosić sprawę na policję. Szybka reakcja może pomóc w znalezieniu sprawców, ale przede wszystkim zabezpieczeniu kart kredytowych, zastrzeżeniu własnej tożsamości i uniemożliwieniu kradzieży środków z naszego konta bankowego. Natychmiast zmień też wszystkie hasła w mediach społecznościowych i innych serwisach, które są dla Ciebie ważne. Minimalizowanie skutków QRishingu to najważniejsza kwestia!
Warto więc minimalizować ryzyko i uważać na tego typu oszustwa, a do kodów QR (jak do wszystkiego w sieci) podchodzić z odpowiednim dystansem.
