Oszustwa z wykorzystaniem kodów QR. Na czym polegają?

Kody QR – co to jest?

Kody QR są obecnie bardzo popularne. Można je znaleźć na stronach internetowych, ale także w przestrzeni publicznej. Mają formę niewielkich czarno-białych kwadratów. Każdy z nich ma unikalny wzór (nieco podobnie do kodów kreskowych na produktach). Dzięki temu można je skanować, co daje możliwość automatycznego przeniesienia się na stronę internetową, której adres został zakodowany.

Kolejnym ułatwieniem jest to, że do używania kodów w formie czarno-białych kwadratów, nie trzeba mieć żadnego specjalnego narzędzia. Funkcję skanera pełni bowiem aparat w telefonie komórkowym. Wystarczy go uruchomić, skierować obiektyw na kod, a urządzenie automatycznie (najczęściej) przekieruje użytkownika do wybranej strony www. W przypadku nadawania przesyłek etykietę z kodem QR lub kod wyświetlony na ekranie smartfonu podsuwa się pod skaner umieszczony w urządzeniu paczkowym (tak jak produkt w sklepowej kasie).

Kody QR są niewątpliwie bardzo wygodne. Warto z nich korzystać, jednak należy to robić „z głową”. Sprawdź, na co musisz uważać.

Quishing – na czym to polega?

Quishing to nazwa oszustwa wykorzystującego kody QR. Jak ono najczęściej przebiega? Jak podaje Ministerstwo Cyfryzacji, główną zasadą nieuczciwego działania jest wykorzystywanie spreparowanych kodów QR do nieuczciwych działań. Łatwo dostrzec podobieństwo do phishingu, z tym, że zamiast z fałszywymi linkami, ma się do czynienia z czarno-białymi kwadracikami zawierającymi określony kod.

Co się stanie po zeskanowaniu takiego spreparowanego QR? Użytkownik zostanie przeniesiony na stronę internetową, która wcześniej została przygotowana przez oszustów. Najczęściej naśladuje ona wyglądem witryny znanych banków, sklepów czy instytucji. Ma to na celu wykradzenie danych użytkownika poprzez nakłonienie go do ich podania, np. w formularzu do logowania.

Zeskanowanie niektórych kodów QR może również skutkować pobraniem na urządzenie wirusa lub zainfekowanego pliku. W skrajnym przypadku twoje urządzenie może zostać przejęte przez oszusta. To znaczy, że będzie mógł on z niego zdalnie korzystać i wejść w posiadanie twoich danych personalnych.

Jak się chronić przed oszustwami na kody QR?

Wykrycie oszustwa może nie być łatwe, ponieważ nie da się rozpoznać, że kod QR jest fałszywy wyłącznie na podstawie jego wyglądu. Warto natomiast zwrócić uwagę na okoliczności przesłania takiego kodu oraz wskazówki, które wydaje jego nadawca.

Jakie zasady wdrożyć?

• Dezaktywuj funkcję automatycznego skanowania kodów. Znajdziesz ją w ustawieniach urządzenia lub aparatu fotograficznego.
• Zeskanowanie kodu najczęściej jeszcze nie oznacza, że padłeś ofiarą oszustwa. Uważaj natomiast na to, na jaką stronę trafisz. Przed wejściem na daną witrynę sprawdź, czy adres, do którego przekierowuje kod QR, nie wydaje się podejrzany lub nie zawiera literówek. Jeśli adres ten budzi twoją wątpliwość, dla własnego bezpieczeństwa lepiej nie wchodzić na daną stronę. 
• Strona, na którą zostaniesz przekierowany, może być fałszywą kopią oryginalnej witryny konkretnej instytucji. Jeśli jakieś elementy jej wyglądu cię zaniepokoją (np. inne kolory, nieudolnie przetłumaczona treść, błędy ortograficzne), szybko ją opuść – to może być oszustwo.
• Jeżeli nie jesteś pewny, czy jesteś na prawdziwej stronie banku lub instytucji z której usług chciałbyś skorzystać, zamknij okno przeglądarki otwarte za pomocą kodu QR i znajdź swoją ofertę bezpośrednio na stronie internetowej tej instytucji.  
• Oszustwa na QR również często próbują wykorzystać luki na twoich urządzeniach mobilnych -  w przypadku wejścia na stronę może zostać uruchomiony złośliwy kod, który zainfekuje twoje urządzenie mobilne. 
  Dlatego niezmiernie ważnym jest, aby posiadać najnowsze wersje oprogramowania na urządzeniach mobilnych oraz mieć zainstalowane aplikacje antywirusowe.
• Jeżeli masz podejrzenie, że telefon został zainfekowany przeskanuj lub jeżeli to konieczne zrestartuj do ustawień fabrycznych. Malware na telefonie może „żyć” długi czas dając dostęp atakującego do urządzenia, aplikacji, a co za tym idzie danych które na nim przetwarzasz.
• Zachowaj szczególną ostrożność podczas podawania danych osobowych w sieci. Trzeba o tym pamiętać nie tylko w kontekście kodów QR, ale również podczas innych form logowania w Internecie. Pamiętaj, że bank, w którym masz konto, nie ma żadnego powodu, aby nagle poprosić cię o PESEL, numer konta, czy tym bardziej numer karty płatniczej. Instytucja ma takie dane w swojej bazie. 
• Warto wiedzieć, że fałszywy kod QR zwykle nie jest jedynym elementem oszustwa. Aby mógł zadziałać, potrzebne są również inne komponenty, takie jak wspomniana spreparowana strona internetowa. 

Co robić, gdy zeskanujesz fałszywy kod QR?

Gdy zorientujesz się, że coś jest nie tak, natychmiast skontaktuj się z policją. Kolejnym krokiem powinno być zablokowanie swojego konta w banku i ewentualnie dowodu osobistego – w zależności od tego, jakie dane przekazałeś. Przeskanuj swój telefon, jeżeli nie jesteś pewny, czy jest on bezpieczny i wykonaj przywracanie do ustawień fabrycznych.

Internet niestety jest pełen nieuczciwych osób, dlatego należy z niego korzystać z bardzo dużą rozwagą. Jeśli chcesz w pełni zabezpieczyć się przed quishingiem, możesz całkowicie zrezygnować z używania kodów QR. Najczęściej stanowią one tylko jedną z kilku metod dostępnych do wykorzystania w danej sytuacji.