Uwaga na oszustwa z wykorzystaniem kodów QR

Kody QR można znaleźć wszędzie. Zarówno w przestrzeni publicznej jak i w internecie. Jest to wygodne rozwiązanie dla każdego z nas. Widząc reklamę ciekawego produktu, zapowiedź koncertu, który może nas zainteresować czy darmowych materiałów do pobrania – zamiast wpisywać adres strony wystarczy zeskanować aparatem telefonu lub tabletu specjalny kod i po chwili automatycznie zostajemy przeniesieni na konkretną stronę. Wszystko w łatwy i szybki sposób.

Kody QR, podobnie jak wiele mechanizmów, które powstały z myślą o wygodzie i dostępności, znalazły się na celowniku przestępców. Oszustwa z ich wykorzystaniem określane są mianem quishingu (ang. Quick Response – szybka odpowiedź). Ten rodzaj oszustwa, będącego pochodną phishingu polega na zamieszczaniu spreparowanych kodów QR.

Co może się stać jeśli zeskanujemy „podrobiony” kod? Zostaniemy przekierowani na fałszywą stronę znanej marki, banku czy też innej instytucji, która została stworzona do próby wykradzenia danych użytkowników, albo na nasze urządzenie zostanie pobrany zainfekowany plik, mogący wyrządzić bardzo wiele szkód.

Jak się chronić przed oszustwem na kody QR?

• wyłącz funkcję automatycznego skanowania kodów QR w ustawieniach urządzenia;
• zachowaj szczególną czujność jeśli skanując kod QR jesteś proszona/-y o pobranie pliku, aplikacji lub aktualizację;
• bądź czujny jeśli strona, na którą nastąpiło przekierowanie wiąże się z finansami (np. bramki płatności, strony banku);
• uważaj podając na wyświetlanych stronach swoje dane osobowe i/lub logowania.

Schemat działania

1. Znalezienie ofiary i nawiązanie kontaktu

Aktualnie oszuści znajdują ofiary korzystając głównie z otwartych grup gromadzących dzieci i młodzież w serwisach społecznościowych, czy też komunikatorach. Na podstawie znalezionych tam informacji budują profil ofiary sprawdzając zainteresowania lub listę znajomych. Zdobytą wiedzę wykorzystują podczas nawiązywania kontaktu, stosując przy tym różne techniki: podają się za dalszego znajomego potrzebującego pomocy lub oferują otrzymanie płatnych przedmiotów w grach w zamian za przysługę.

2. Nakłonienie do instalacji aplikacji

Po nawiązaniu kontaktu oszust nakłania ofiarę do instalacji i skonfigurowania aplikacji Wiadomości stworzonej przez Google i służącej m.in. do komunikowania się za pośrednictwem wiadomości SMS. W przypadku niektórych smartfonów może być ona zainstalowana domyślnie przez producenta. Sama aplikacja nie jest szkodliwa, jednak dotychczasowe obserwacje wskazują na to, że obecnie tylko ona jest wykorzystywana w ramach tego scenariusza oszustwa.

3. Przesłanie kodu QR

Kiedy aplikacja jest już zainstalowana na telefonie, przestępca wysyła ofierze kod QR, który ta ma w niej zeskanować. Służy on do parowania urządzenia z aplikacją. Należy podkreślić, że do sparowania urządzenia nie jest potrzebne podanie żadnych danych uwierzytelniających, nawet jeżeli korzystamy na powiązanym koncie z uwierzytelniania dwuskładnikowego. W trakcie procesu parowania brakuje również jakichkolwiek informacji opisujących jego skutki lub ostrzegających przed zagrożeniami.

Skutki oszustwa

Po zeskanowaniu kodu przez ofiarę oszust uzyskuje dostęp do:

• zapisanych i przychodzących wiadomości,
• wysyłki wiadomości,
• listy kontaktów.

Informacje te można wykorzystać na wiele sposobów. Na ten moment zaobserwowaliśmy dwa główne działania podejmowane przez oszustów:

• obciążenie rachunku poprzez wysyłkę wiadomości typu SMS Premium,
• szantaż wykorzystujący informacje zawarte w wiadomościach i listę kontaktów.

Należy jednak zwrócić uwagę, że uzyskane dostępy mogą posłużyć np. do przejęcia drugiego składnika uwierzytelniania (jeżeli ofiara wykorzystuje do tego wiadomości SMS) lub prób oszustwa skierowanych w kontakty ofiary z wykorzystaniem jej urządzenia.

Pamiętajmy, że zdrowy rozsądek jest podstawą. Bądźmy uważni i świadomi!

Źródło: Ministerstwo Cyfryzacji / NASK