Wielokrotnie skanujemy kody QR, by sprawdzić menu restauracji, parkometry, otrzymać kupon rabatowy, połączyć się z firmową siecią Wi-Fi lub dowiedzieć się więcej o turystycznych atrakcjach. Niestety - właśnie w taki sposób pozwalamy się okraść cyberprzestępcom.
Ataki phishingowe
Skala kradzieży, wyłudzeń i włamań za pomocą kodów QR stała się już duża, że zajęła się nią Federalna Komisja Handlu (FTC). Agencja ostrzega, że oszuści ukrywają szkodliwe linki w kodach QR i wykorzystują je w atakach phishingowych, co jest taktyką znaną jako quishing. Phishing jest metodą oszustwa, przybierającą różne formy w zależności od trendów cyfrowych. Atak ten ma na celu oszukanie ludzi w dowolny sposób w celu ujawnienia poufnych informacji, takich jak nazwy użytkowników, hasła i dane karty kredytowej, które można następnie wykorzystać do dalszych działań przestępczych.
Biorąc pod uwagę popularność kodów QR i, co ważniejsze, tendencję do ich skanowania bez kwestionowania ich przeznaczenia, kody QR stały się doskonałymi narzędziami dla oszustów. Manipulując kodami QR, oszuści kierują osoby na fałszywą stronę internetową, która wygląda na wiarygodną. Jeśli zalogujesz się na tej fałszywej stronie, oszuści mogą ukraść wszelkie wprowadzone przez Ciebie informacje. Alternatywnie kod QR może zainstalować złośliwe oprogramowanie, które po cichu zbiera Twoje informacje, zanim jeszcze zdasz sobie z tego sprawę.
Kto wymyślił kody QR?
Kody QR, zwane także kodami szybkiej odpowiedzi, zostały wynalezione przez Masahiro Harę, pracownika japońskiej firmy motoryzacyjnej Denso Waves, w 1994 roku. Firma stanęła przed wyzwaniami związanymi z tradycyjnymi kodami kreskowymi, wymagającymi maksymalnie 10 znaków na jednym produkcie. Takie podejście doprowadziło do opóźnień w produkcji, ponieważ skanery miały trudności z odczytaniem ich z jednego kierunku.
Masahiro Hara znalazł inspirację dla kodów QR podczas gry Go. Uświadomił sobie, że podobny system oparty na siatce, jak plansza do gry GO, może przechowywać więcej informacji w jednym kodzie i być odczytywany z wielu kierunków, kątów i odległości. Popularność kodów QR wzrosła w 2020 r., kiedy wybuchła pandemia i wszyscy unikali kontaktu fizycznego.
Jedną z metod kradzieży jest wykorzystywanie e – maili i wiadomości przez cyberprzestępców do wysyłania kodu QR udającego, że pochodzi on z legalnych źródeł, najczęściej znanych firm lub marek. Kolejną metodą są „organizowane” przez przestępców fałszywe promocje, zawierający wiele zwodniczych kodów QR prowadzi do przekonania, że otrzymasz zniżkę lub ofertę specjalną. Coraz na popularności zyskują fałszywe kody QR strategicznie umieszczone w przestrzeni publicznej, na plakatach, a nawet na opakowaniach produktów.
Cyberprzestępcy wykazują się dużą kreatywnością, stosując różne sprytne taktyki, aby nakłonić nas do zeskanowania ich fałszywych kodów QR, począwszy od zakrywania własnych legalnych kodów QR po wysyłanie przekonujących e-maili i wiadomości. Podszywają się pod firmę kurierską i mówić, że nie mogli dostarczyć zamówionej przez nas paczki, więc proszą o skontaktowanie się z nimi w celu zmiany terminu. Następnie udają, że jest problem z naszym kontem i nalegają, byśmy potwierdzili dane. Później kłamią na temat wykrycia podejrzanej aktywności na naszym koncie i namawiają nas do zmiany hasła. Ich przesłania wywołują poczucie pilności. Chcą tylko, żebyśmy zeskanowali ich kod.
Sprawdzajcie kody QR
- Jeśli chcemy sprawdzić, czy dany kod QR jest niebezpieczny to, warto użyć bezpłatnych narzędzi antyphishingowych i za ich pomocą przeskanować podejrzany kod. Zostanie on przeskanowany i otrzymamy informacje, czy dany kod QR jest złośliwy, czy nie - radzi Arkadiusz Kraszewski z firmy Marken Systemy Antywirusowe.
Możemy również sprawdzić adres URL (adres URL to skrót, który oznacza Uniform Resource Locator, bardziej znany jako „adres internetowy) przed jego otwarciem. Jeśli wygląda na znajomy adres URL, upewnij się, że nie jest sfałszowany, sprawdzając, czy nie ma błędów ortograficznych lub zamienionych liter. Pamiętajmy także by nie skanować kodu QR w wiadomości e-mail lub SMS, której się nie spodziewałeś. Jeśli chcesz sprawdzić, czy wiadomość jest wiarygodna, skontaktuj się z firmą telefonicznie lub za pośrednictwem strony internetowej. Gdy już zeskanujemy fałszywy kod QR, to koniecznie zmieńmy hasła do kont, które nieświadomie mogliśmy udostępnić przestępcom.
Fot. zdjęcie ilustracyjne/ZTM GZM
Tomasz Wypych
