Jak wynika z raportu serwisu ChronPESEL, cyberprzestępcy do kradzieży danych osobowych nie wykorzystują już tylko linków, ale także kody QR. Popularność takich ataków phishingowych w latach 2021-2024 wzrosła o 900 proc. - wynika z danych firmy Check Point Software. Takie ataki doczekały się nawet własnej nazwy - quishing. Jak podali autorzy badania, przestępcy umieszczają podrobione piktogramy w wiadomościach e-mail, SMS-ach, załącznikach z plikami PDF, czy na parkomatach bądź tabliczkach przy szlakach turystycznych.
Poinformowali, że przed tego typu oszustwem jest trudniej się uchronić, ponieważ kody QR są w stanie ominąć filtry antyspamowe - system poczty e-mail uważa je bowiem jedynie za grafikę. „Oznacza to, że nie da się ich automatycznie odczytać i przeanalizować, tak jak tradycyjnych odnośników do stron internetowych. W związku z tym zagrożenie kradzieży danych osobowych jest bardzo poważne” - przestrzegają autorzy badania.
Fałszywe QR kody w SMS-ach
Zwrócili oni uwagę, że cyberprzestępcy umieszczają również fałszywe kody QR w treści SMS-ów. Mogą np. podszywać się pod firmy kurierskie, platformy sprzedażowe czy instytucje państwowe, pod pretekstem odbioru paczki, nagrody lub zapłaty mandatu. Z próbą wyłudzenia danych poprzez e-mail miało do czynienia 47 proc. badanych, a przez SMS - 40 proc.
Metoda działania oszustów jest dość prosta - zamiast wysyłać link, w jego miejsce wstawiają kod QR prowadzący do fałszywej strony logowania lub formularza płatności - wskazano w informacji. „Wystarczy krótka wiadomość z informacją o sprzedaży przedmiotu i prośbą o potwierdzenie odbioru środków, by niczego niepodejrzewający użytkownik zeskanował kod. W rzeczywistości trafia on na stronę phishingową, gdzie przestępcy próbują wyłudzić dane osobowe” - ostrzegają.
Bartłomiej Drozd z serwisu ChronPESEL przestrzega, że kod QR „może być początkiem bardzo poważnych kłopotów”, gdyż po zeskanowaniu oszuści mogą przejąć dane logowania np. do bankowości internetowej. „W efekcie możemy nie tylko stracić wszystkie pieniądze z konta, ale też narazić się na ryzyko kradzieży danych osobowych, w tym PESEL-u, wraz z próbami zaciągnięcia kredytu lub pożyczki na nasze nazwisko” - podkreślił Drozd.
Fałszywe QR kody na parkomatach
Autorzy badania wskazali, że kody QR można wykorzystać też w prawdziwym życiu. Jak podali, we Wrocławiu zgłoszono przypadki fałszywych kodów na parkomatach. Wyglądały one jak oficjalna metoda płatności, a w rzeczywistości wyłudzały dane karty kredytowej. „Znane są przypadki, gdzie kierowcy znajdowali za wycieraczkami samochodów kartki łudząco przypominające mandaty, opatrzone logotypami policji lub Krajowej Administracji Skarbowej. Zawierały one kod QR, który po zeskanowaniu kierował na fałszywą stronę płatności” - zauważyli.
Podkreślili, że ataki wykorzystujące piktogramy są skuteczne, gdyż ofiara nie wie, gdzie przekieruje ją kod, tak jak w przypadku linku. „Nie należy też skanować przypadkowych piktogramów umieszczonych w miejscach publicznych, na plakatach, ulotkach czy w mailach od niezweryfikowanych nadawców. Pod żadnym pozorem nie można również podawać danych logowania, PESEL-u czy numeru karty płatniczej po zeskanowaniu kodu QR z nieznanego źródła” - zaznaczył Drozd. Jego zdaniem do kodów QR trzeba mieć ograniczone zaufanie, tak samo jak do podejrzanych linków.
Eksperci ChronPESEL dodali, że przed zeskanowaniem kodu można sprawdzić jego zawartość na darmowych serwisach online, które pozwalają wyświetlić pełny adres URL zakodowany w grafice. „Ponadto należy też unikać korzystania ze standardowych skanerów kodów QR umieszczonych w aparacie smartfonów. Lepszym rozwiązaniem są aplikacje mobilne” - podkreślili. Badanie zostało przeprowadzone w pierwszej połowie tego roku metodą CAWI wśród 1500 dorosłych Polaków przez IMAS International. (PAP)