Kody QR można znaleźć wszędzie. Zarówno w przestrzeni publicznej jak i w internecie. Jest to wygodne rozwiązanie dla każdego z nas. Widząc reklamę ciekawego produktu, zapowiedź koncertu, który może nas zainteresować czy darmowych materiałów do pobrania – zamiast wpisywać adres strony wystarczy zeskanować aparatem telefonu lub tabletu specjalny kod i po chwili automatycznie zostajemy przeniesieni na konkretną stronę. Wszystko w łatwy i szybki sposób.
Kody QR, podobnie jak wiele mechanizmów, które powstały z myślą o wygodzie i dostępności, znalazły się na celowniku przestępców. Oszustwa z ich wykorzystaniem określane są mianem quishingu (ang. Quick Response – szybka odpowiedź). Ten rodzaj oszustwa, będącego pochodną phishingu polega na zamieszczaniu spreparowanych kodów QR.
Co może się stać jeśli zeskanujemy „podrobiony” kod? Zostaniemy przekierowani na fałszywą stronę znanej marki, banku czy też innej instytucji, która została stworzona do próby wykradzenia danych użytkowników, albo na nasze urządzenie zostanie pobrany zainfekowany plik, mogący wyrządzić bardzo wiele szkód.
Jak się chronić przed oszustwem na kody QR?
1. Znalezienie ofiary i nawiązanie kontaktu
Aktualnie oszuści znajdują ofiary korzystając głównie z otwartych grup gromadzących dzieci i młodzież w serwisach społecznościowych, czy też komunikatorach. Na podstawie znalezionych tam informacji budują profil ofiary sprawdzając zainteresowania lub listę znajomych. Zdobytą wiedzę wykorzystują podczas nawiązywania kontaktu, stosując przy tym różne techniki: podają się za dalszego znajomego potrzebującego pomocy lub oferują otrzymanie płatnych przedmiotów w grach w zamian za przysługę.
2. Nakłonienie do instalacji aplikacji
Po nawiązaniu kontaktu oszust nakłania ofiarę do instalacji i skonfigurowania aplikacji Wiadomości stworzonej przez Google i służącej m.in. do komunikowania się za pośrednictwem wiadomości SMS. W przypadku niektórych smartfonów może być ona zainstalowana domyślnie przez producenta. Sama aplikacja nie jest szkodliwa, jednak dotychczasowe obserwacje wskazują na to, że obecnie tylko ona jest wykorzystywana w ramach tego scenariusza oszustwa.
3. Przesłanie kodu QR
Kiedy aplikacja jest już zainstalowana na telefonie, przestępca wysyła ofierze kod QR, który ta ma w niej zeskanować. Służy on do parowania urządzenia z aplikacją. Należy podkreślić, że do sparowania urządzenia nie jest potrzebne podanie żadnych danych uwierzytelniających, nawet jeżeli korzystamy na powiązanym koncie z uwierzytelniania dwuskładnikowego. W trakcie procesu parowania brakuje również jakichkolwiek informacji opisujących jego skutki lub ostrzegających przed zagrożeniami.
Skutki oszustwa
Po zeskanowaniu kodu przez ofiarę oszust uzyskuje dostęp do:
Informacje te można wykorzystać na wiele sposobów. Na ten moment zaobserwowaliśmy dwa główne działania podejmowane przez oszustów:
Należy jednak zwrócić uwagę, że uzyskane dostępy mogą posłużyć np. do przejęcia drugiego składnika uwierzytelniania (jeżeli ofiara wykorzystuje do tego wiadomości SMS) lub prób oszustwa skierowanych w kontakty ofiary z wykorzystaniem jej urządzenia.
Pamiętajmy, że zdrowy rozsądek jest podstawą. Bądźmy uważni i świadomi!
Źródło: Ministerstwo Cyfryzacji / NASK