QRishing zbiera żniwo. Uwaga na nowy rodzaj oszustwa. Alior Bank ostrzega. Można stracić dane i pieniądze

Cyberprzestępcy znaleźli kolejny sposób na wyłudzanie naszych danych i pieniędzy. Mowa o QRishingu, czyli nowym oszustwie wykorzystującym coraz popularniejsze kody QR.

Historia kodów QR sięga połowy lat 90. XX w. Prawdziwą popularność zaczęły one zyskiwać jednak w ostatnich latach. Dziś są obecne niemal wszędzie. Skanujemy je np. w komunikacji miejskiej, gdy chcemy aktywować zakupiony w aplikacji bilet. Wiele restauracji rezygnuje z drukowanych menu, preferując właśnie kody QR, które kierują nas do strony internetowej z kartą dań.

Logowanie za pomocą kodu QR oferują również niektóre serwisy internetowe - np. platformy VOD. Łatwiej jest bowiem uruchomić aparat i zeskanować alfanumeryczny kod, zamiast ręcznie wpisywać długi adres WWW. Szczególnie jeśli dany serwis uruchamiamy na telewizorze i do dyspozycji mamy jedynie pilota.

Z rosnącej popularności kodów QR doskonale zdają sobie sprawę również sami cyberprzestępcy, którzy  coraz częściej wykorzystują elektroniczną funkcjonalność do wyłudzania naszych danych i pieniędzy. Tak narodził się QRshing.

Co to jest QRishing?

Nazwa QRishing powstała w wyniku połączenia skrótu QR z phishingiem. Jest to odmiana phisingu, z tą różnicą, że w tym wypadku do spreparowanej przez oszustów strony prowadzi nas nie link otrzymany w e-mailu, komunikatorze internetowym bądź wiadomości SMS, ale właśnie kod QR. Przed QRshingiem swoich klientów ostrzegał niedawno m.in. Alior Bank.

Kody QR możesz znaleźć na przykład w komunikacji miejskiej, urzędach, taksówkach, reklamach na przystankach, parkomatach, menu restauracji, ulotkach oraz stronach WWW dostawców usług. Kody QR pozwalają uzyskać dostęp do stron internetowych, sklepów z aplikacjami lub umożliwiają szybkie podłączenie się do sieci Wi-Fi

- czytamy w komunikacie opublikowanym przez bank. Alior ostrzega, że oszuści "zamieszczają kody QR na specjalnie na specjalnie przygotowanych materiałach lub wklejają lub wstawiają odpowiednio spreparowany kod QR na oficjalnych materiałach prowadzących do źródeł informacji".

Tak spreparowany kod może służyć do kradzieży informacji (np. danych z kart bankowych), zainstalowania na smartfonie złośliwego oprogramowania bądź też skierowania odbiorcy kodu QR na niebezpieczną stronę internetową.

QRishing jest groźny nie tylko ze względu na rosnącą popularność kodów QR, ale również ze względu na fakt, że kody te często nie są wykrywane przez systemy antyphishingowe. Do tego QR łatwo można zaszyć w zdjęciu lub dokumencie PDF umieszczonym w załączniku do maila.

Uważaj na to, co skanujesz

O oszustwie z wykorzystaniem kodów QR już w lipcu br. informowała małopolska policja. W tym wypadku oszuści umieszczali fałszywe kody QR na parkometrach w Krakowie. Kierowcy, którzy je zeskanowali, odsyłani byli na stronę, na której podawali dane kart płatniczych.

W ubiegłym tygodniu przed QRishingiem ostrzegali również policjanci z Mławy.

Uwaga, hakerzy wykorzystują popularną wśród graczy gier video platformę komunikacyjną. Z platformy tej często korzystają dzieci - niestety jak się okazuje, bez nadzoru rodziców. Hakerzy wysyłają dzieciom kody QR do nowych gier lub dodatków do gier. Po zeskanowaniu kodu, konto abonenta zostaje obciążane wysokimi opłatami. Wczoraj (w ubiegły czwartek - red.] do mławskiej komendy wpłynęły dwa takie zawiadomienia

- czytamy w komunikacie opublikowanym w mediach społecznościowych.

W jednym z przypadków oszuści skontaktowali się z 10-lakiem, proponując mu różnego rodzaju dodatki do gier. Chłopiec zeskanował otrzymany kod QR, "po czym konto abonenta - czyli w tym przypadku rodzica, było obciążane opłatami, naliczanymi przez operatora, w wysokości ponad 800 zł, za zakupione aplikacje i gry, które nigdy do użytkownika nie dotarły".

Jak nie dać się oszukać?

Eksperci ds. cyberbezpieczeństwa z Alior Banku przygotowali garść porad, które pomogą uniknąć oszustw z wykorzystaniem QRishingu:

1. Kody QR bywają niebezpieczne w różnych sytuacjach, a nie tylko podczas korzystania z usług dostępnych w internecie.
2. Do wszystkich kodów QR należy podchodzić z ostrożnością – tak jak do zawartego w wiadomości e-mail "skróconego" linku, w którym na pierwszy rzut oka nie widać, dokąd zostaniemy przekierowani, wynikiem zeskanowania kodu QR może być przekierowanie na stronę, która jedynie udaje oficjalne źródło informacji.
3. Skorzystanie ze spreparowanego kodu QR nie zawsze musi być związane z natychmiastową utratą środków pieniężnych – dla przestępców równie cenne są dane podawane przez atakowanych na podstawionych fałszywych stronach.
4. Wszelkie zachęty w postaci otrzymania korzystnego rabatu na usługę lub gratisu po zeskanowaniu kodu QR i zainstalowaniu aplikacji lub realizacji transakcji na podstawionej stronie www, należy traktować jako przesłankę wskazującą na próbę ataku.
5. Należy zablokować domyślny dostęp do kamery dla zewnętrznych aplikacji – dostęp do kamery powinien być nadawany wyłącznie w wyniku świadomego działania użytkownika.
6. Należy uruchamiać kamerę wyłącznie w momencie wykonywania zdjęć – aktywny aparat w miejscach publicznych może sam zaproponować zeskanowanie kodu QR.
7. Należy aktualizować oprogramowanie zainstalowane na urządzeniu mobilnym – systemowe i zainstalowane aplikacje.
8. Nie należy realizować płatności na dowolnej platformie oraz podawać danych logowania na stronie, do której dostęp nastąpił za pomocą kodu QR.
9. Przed skorzystaniem z kodu QR zamieszczonego w przestrzeni publicznej pozornego zaufania (np. urząd, bank, restauracja) sprawdź, czy nie został on zasłonięty naklejonym, spreparowanym kodem QR.
10. Zanim przejdziesz do strony kierującej z kodu QR, sprawdź, jaka domena jest wyświetlana w podglądzie – jeśli jest błędna lub wzbudza ona Twoje podejrzenia, nie otwieraj strony.