Ataki z wykorzystaniem fałszywych kodów QR (quishing) eksplodowały – w latach 2021–2024 ich liczba wzrosła o 900 proc. Choć większość Polaków deklaruje ostrożność, cyberprzestępcy skutecznie omijają filtry i wyłudzają dane, podszywając się pod firmy i instytucje.
Nowa broń cyberprzestępców. Wzrost liczby ataków o 900 procent
Polacy przyznają, że najczęściej mieli do czynienia z wyłudzeniem danych osobowych lub jego próbą poprzez e-mail (47 proc.) lub SMS (40 proc.).
Jednocześnie aż 83 proc. z nas deklaruje, że nie otwiera podejrzanych linków i załączników – wynika z badania przeprowadzonego na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów. Dlatego cyberprzestępcy do kradzieży danych osobowych wykorzystują już nie tylko fałszywe linki, ale coraz bardziej popularne kody QR. Podrobione piktogramy umieszczają w wiadomościach e-mail, SMS-ach, załącznikach z plikami PDF, na parkomatach albo tabliczkach przy szlakach turystycznych. Tego typu oszustwo doczekało się nawet własnej nazwy – quishing. Z danych firmy Check Point Software wynika, że w latach 2021–2024 ataki phishingowe oparte na kodach QR wzrosły o 900 proc.
Dlaczego kody QR omijają zabezpieczenia
Przed tego typu oszustwem szczególnie trudno się uchronić, bo kody QR są w stanie często ominąć filtry antyspamowe, ponieważ dla systemów pocztowych są jedynie grafiką. Oznacza to, że nie da się ich automatycznie odczytać i przeanalizować, tak jak tradycyjnych odnośników do stron internetowych. Cyberprzestępcy umieszczają również fałszywe kody QR w treści SMS-ów, tworząc pozory wiarygodności. Podszywają się pod firmy kurierskie, platformy sprzedażowe czy instytucje państwowe, pod pretekstem odbioru paczki, nagrody lub zapłaty mandatu.
Jak działa quishing w praktyce
Metoda działania oszustów jest zaskakująco prosta i właśnie dlatego tak skuteczna. Zamiast wysyłać klasyczny link tekstowy, podszywają się pod znane marki i instytucje, zamieszczając kod QR prowadzący do fałszywej strony logowania lub formularza płatności. Szczególnie często wykorzystują do tego popularne platformy sprzedażowe. Wystarczy krótka wiadomość z informacją o sprzedaży przedmiotu i prośbą o potwierdzenie odbioru środków, by niczego niepodejrzewający użytkownik zeskanował kod. W rzeczywistości trafia on na stronę phishingową, gdzie przestępcy próbują wyłudzić dane osobowe.
– Z pozoru niewinny kod QR może być początkiem bardzo poważnych kłopotów. Po zeskanowaniu przez nas piktogramu oszuści są w stanie przejąć dane logowania do bankowości internetowej, numer karty płatniczej czy inne wrażliwe informacje. W efekcie możemy nie tylko stracić wszystkie pieniądze z konta, ale też narazić się na ryzyko kradzieży danych osobowych, w tym PESEL-u, wraz z próbami zaciągnięcia kredytu lub pożyczki na nasze nazwisko – wyjaśnia Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.
Fałszywe kody QR w przestrzeni publicznej i jak się chronić
Oszustwa z wykorzystaniem kodów QR coraz częściej przenoszą się również do codziennego życia. We Wrocławiu zgłoszono przypadki fałszywych naklejek z piktogramami umieszczanych na parkomatach, które wyglądały jak oficjalna metoda płatności, a w rzeczywistości prowadziły do stron wyłudzających dane karty. Oszuści podszywają się pod instytucje publiczne: kierowcy znajdowali za wycieraczkami samochodów kartki łudząco przypominające mandaty, opatrzone logotypami policji lub Krajowej Administracji Skarbowej. Zawierały kod QR, który po zeskanowaniu kierował na fałszywą stronę płatności. Są też tabliczki z piktogramami rozwieszane w lasach, m.in. w rejonie Wałbrzycha. Leśnicy oficjalnie apelują, aby ich nie skanować, bo mogą prowadzić do złośliwych stron lub służyć do wyłudzania danych osobowych.
Ataki z wykorzystaniem kodów QR są skuteczne, bo w przeciwieństwie do tradycyjnego linku zawartość piktogramu nie jest widoczna od razu, a dopiero po zeskanowaniu okazuje się, do jakiej strony internetowej nas przekieruje. To wystarczy, by wiele osób działało impulsywnie, zwłaszcza gdy wiadomość sugeruje pilną potrzebę zapłaty, odbioru nagrody czy uniknięcia mandatu.
– Do kodów QR, podobnie jak do podejrzanych linków, trzeba mieć ograniczone zaufanie. Jeśli adres odnośnika do strony jest nietypowy, skrócony, zawiera literówki lub wygląda inaczej niż oficjalna domena znanej firmy czy instytucji państwowej, to powinien być to dla nas sygnał ostrzegawczy. Nie należy też skanować przypadkowych piktogramów umieszczonych w miejscach publicznych, na plakatach, ulotkach czy w mailach od niezweryfikowanych nadawców. Pod żadnym pozorem nie można również podawać danych logowania, PESEL-u czy numeru karty płatniczej po zeskanowaniu kodu QR z nieznanego źródła – mówi Bartłomiej Drozd.
Warto upewnić się, dokąd prowadzi piktogram. W tym celu możemy najpierw zrobić zdjęcie lub zrzut ekranu, a następnie sprawdzić zawartość kodu QR za pomocą darmowych serwisów online. Tego typu narzędzia pozwalają wyświetlić pełny adres URL zakodowany w grafice, zanim zdecydujemy się otworzyć link prowadzący do strony. Można też unikać korzystania ze standardowych skanerów kodów QR umieszczonych w aparacie smartfonów i zastąpić je aplikacjami.
Z tego artykułu dowiedziałeś się:
- Czym jest quishing i dlaczego liczba takich ataków wzrosła o 900 proc.
- W jaki sposób kody QR omijają filtry i tworzą pozory wiarygodności
- Jak wygląda schemat działania oszustów wykorzystujących kody QR
- Gdzie pojawiają się fałszywe piktogramy (np. parkomaty, „mandaty”, lasy)
- Jakie praktyki bezpieczeństwa stosować przed skanowaniem kodu QR
na zdjęciu: osoba korzystająca ze smartfona. Zdjęcie ilustracyjne. fot. SHVETS production, Pexels
TW
Inne tematy w dziale Technologie
