Z najnowszych badań wynika, że nawet 70% dorosłych Polaków choć raz skanowało kod QR, a 64% z nich robi to regularnie. Kody te w obecnych czasach są coraz szerzej wykorzystywane. Można ich używać między innymi do dokonywania płatności online.
Ten fakt wykorzystują również cyberprzestępcy, którzy za pomocą takich fałszywych kodów QR wyłudzają dane osobowe, uzyskują dostęp do kart płatniczych czy bankowości internetowej albo infekują telefon złośliwym oprogramowaniem.
Tego rodzaju oszustwa to quishing. Na czym one polegają? Jak można chronić się przez quishingiem? Przekonamy się poniżej:
Quishing – co to jest?
Quishing to atak przygotowany przez cyberprzestępców pod postacią odpowiednie spreparowanych kodów QR.
Konsument, skanując taki kod QR pobiera na swój smartfon zainfekowane, złośliwe oprogramowanie lub zostaje przekierowany na fałszywą stronę banku, firmy, instytucji. W efekcie, cyberprzestępca zdobywa dostęp do kart płatniczych i bankowości internetowej użytkownika lub pozyskuje jego wrażliwe dane osobowe.
W jakich sytuacjach można paść ofiarą quishingu?
Kody QR umożliwiają zapisanie dużej ilości danych na małej powierzchni, a ich zeskanowanie pozwala przejść bezpośrednio na stronę internetową czy do aplikacji, co znacznie oszczędza nasz czas. Za ich pomocą właściciele smartfonów mogą między innymi realizować płatności online, skasować bilet komunikacji miejskiej czy przeglądać menu restauracji.
Z badania HX Study, zleconego przez agencję Starcom wynika, że Polacy najczęściej skanują kody QR w sklepach i drogeriach (38%), na stronach internetowych (37%) i w środkach transportu (26%).
Dla co drugiego Polaka najistotniejszym powodem wykorzystywania kodów QR jest szybkość dostępu do informacji (51%). Następnie główną przyczyną jest możliwość uzyskania zniżek lub rabatów (45%), dostęp do dodatkowych informacji (31%), a także brak konieczności dotykania ekranu lub ulotki (27%).
Popularność QR kodów nie uszła uwadze cyberprzestępców, którzy zaczęli tworzyć podrobione piktogramy przekierowujące nieświadome zagrożenia osoby do fałszywych stron internetowych.
O ile skanowanie kodów QR w niewielkiej restauracji czy kawiarni choćby (w celu wyświetlenia menu) jest najczęściej bezpieczne, to w miejscach publicznych musimy zachować szczególną ostrożność, ponieważ nie mamy pewności, że cyberprzestępcy ich nie podmienili.
Przykłady quishingu w polskich miastach
Oszuści mogą na przykład umieścić fałszywe naklejki z kodami QR na plakatach na przystanku. W ten sposób można zamaskować niebezpieczne linki, a następnie przy dokonywaniu przez nas płatności przekierować na łudząco przypominającą prawdziwą stronę banku.
Cyberprzestępcy za pomocą quishingu mogą również zaatakować kierowców płacących za parkowanie. W 2023 roku na niektórych parkomatach w Krakowie umieszczono fałszywe kody QR, które umożliwiły oszustom przechwycenie danych z kart płatniczych. Wykorzystana do wyłudzenia strona internetowa bardzo przypominała witrynę Zarządu Dróg Miasta Krakowa. W efekcie część kierowców straciła pieniądze.
Wyłudzenie danych do kart płatniczych podczas wnoszenia opłat za parkowanie to nie jedyny pomysł cyberprzestępców. W 2023 roku mieszkańcy Warszawy znajdowali za wycieraczkami swoich samochodów mandaty z kodami QR.
Po zeskanowaniu kierowca był przekierowywany na fałszywą stronę, na której mógł pozostawić własne dane. W ten sposób oszuści mogą nie tylko uzyskać dostęp do loginów płatniczych, lecz także imienia, nazwiska, numeru PESEL lub dowodu osobistego, które można wykorzystać do zaciągnięcia kredytu.
Cyberprzestępcy coraz częściej stosują quishing
Zdaniem analityków firmy Keepnet Labs, quishing jest obecnie jednym z największych zagrożeń dla firm i osób fizycznych. W 2023 roku liczba przypadków wyłudzenia danych lub pieniędzy w ten sposób wzrosła na świecie o 587%. Choć w Polsce nie prowadzi się podobnych statystyk, problem quishingu w naszym kraju jest bez wątpienia poważny.
Świadczy o tym fakt, że przed tym zagrożeniem ostrzega Ministerstwo Cyfryzacji, Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego Komisji Nadzoru Finansowego czy Zespół Szybkiego Reagowania na Incydenty Komputerowe. Co gorsza, o tym, że padliśmy ofiarą quishingu, najczęściej dowiadujemy się z opóźnieniem.
Okazuje się bowiem, że w sytuacji gdy cyberprzestępcy przejmą dane osobowe pozostawione na fałszywym formularzu albo zainfekują złośliwym oprogramowaniem smartfona, to często ich ofiary mogą nie skojarzyć negatywnych skutków takich działań z zeskanowaniem fałszywego kodu QR.
Jak nie paść ofiarą quishingu?
Jedyną skuteczną metodą jest zachowanie czujności i nieskanowanie kodów QR jeśli nie mamy pewności, że są one bezpieczne. Warto przy tym pamiętać, że podczas samego skanowania kodu QR widoczny jest podgląd adresu strony internetowej kodu QR, który umożliwia kliknięcie linku.
Powinniśmy zatem zawsze sprawdzić czy w adresie URL, do którego przekierowuje kod QR nie występują nic podejrzanego. Jeśli zauważymy jakiekolwiek błędy ortograficzne lub nieznane nazwy domen, kod QR najprawdopodobniej przekierowuje na złośliwą stronę internetową.
Ponadto, w przypadku przechodzenia na inną stronę po zeskanowaniu kodu należy natomiast się upewnić czy aby na pewno jest to styl komunikacji i pozyskiwania danych przez firmę, z których usług korzystamy.
Bartłomiej Drozd, Dyrektor Departamentu Rozwoju Produktów B2C ChronPESEL.pl podkreśla, że “czerwona lampka powinna się nam także zapalić, jeśli po zeskanowaniu znaku jesteśmy proszeni o pobranie pliku, aplikacji lub aktualizacji”.
