QRshingowi oszuści mogą czyhać wszędzie – fałszując system opłat parkometru, zachęcając do wsparcia akcji charytatywnej, czy podszywając się pod bank. Ryzyko rośnie wraz ze wzrostem popularności kodów QR, ponieważ stały się one szczególnie popularne w czasie pandemii, umożliwiając bezdotykowe przekazywanie informacji. Czym jest nowa wersja phisingu i jak można się przed nią uchronić?
Sposób działania kodu QR (Quick Response) jest bardzo prosty – pod specyficznym układem graficznym kryją się przypisane mu dane liczbowe, alfanumeryczne i binarne. W ten sposób można szyfrować linki przenoszące użytkownika na pożądaną stronę internetową. W większości przypadków do ich odczytania nie potrzeba już nawet specjalnej aplikacji, wystarczy jedynie skierować kamerę telefonu w stronę kodu, a on sam zasugeruje nam przekierowanie na ukryty pod kodem link. Podobnie łatwo jest wygenerować kod QR. Wystarczy użyć jednego z dostępnych w sieci narzędzi, np. code‑genrator.com. Dzięki tak nieskomplikowanej obsłudze kody QR znajdują szerokie zastosowanie – od marketingu, gdzie kod QR umieszczony w reklamie produktu może odesłać nas bezpośrednio do sklepu internetowego, w którym możemy dany produkt nabyć, po menu w restauracjach, które po pandemii dalej praktykują umieszczanie na stolikach kodów odsyłających do menu zamiast przygotowywania dla klientów drukowanej karty dań.
Jak działają oszuści?
Łatwość przygotowania kodów, a jednocześnie ich popularność dają cyberprzestępcom, którzy za ich pomocą rozprowadzają linki phisingowe, szerokie pole do popisu. Choć wiedza o tym, czym jest phising, jest coraz większa, to nie każdy spodziewa się, że oszuści mogą czyhać pod niewinnie wyglądającym kodem QR. Hakerzy mają sporo możliwość – fałszywy kod może przekierować np. do sprawiającej wiarygodne wrażenie strony logowania do portalu społecznościowego lub systemu internetowego banku. Dane, które wówczas podamy, trafią wprost w ręce hakerów. Ale równie prawdopodobnym scenariuszem jest uruchomienie pobierania złośliwej aplikacji kliknięciem zeskanowanego kodu.
Kod QR, nazywany też młodszym bratem kodu kreskowego, do odczytania potrzebuje odpowiedniego narzędzia, dlatego nie jesteśmy w stanie zawczasu sprawdzić, co dokładnie zawiera. Dla większej skuteczności atakujący często używają także skróconych łączy (np. bit.ly), co jeszcze bardziej utrudnia rozpoznanie fałszywego odnośnika na ostatnim etapie, kiedy jeszcze możemy uchronić się przed atakiem, czyli wtedy, gdy aplikacja prosi o zgodę uruchomienie linku. Zjawisko nieuczciwego użycia technologii Quick Response nazwano analogicznie do cybernetycznej nomenklatury QRishingiem.
Pomysłowe wyłudzenia
W wielu przypadkach obok fałszywego kodu QR widnieją logotypy sklepów Google Play i App Store, które mają za zadanie uwiarygodnić kod. Jednak wśród nieuczciwych twórców kodów dominuje przede wszystkim taktyka umieszczania złośliwego kodu w miejsce przygotowanego przez legalnie działający i budzący zaufanie podmiot lub podszywając się pod taką właśnie instytucję. Cyberprzestępcy mogą w ten sposób umieścić kod np. na ulotce czy ogłoszeniu, na spreparowanej stronie internetowej albo wysłać go w wiadomości e‑mail bądź SMS.
Kreatywność oszustów nie zna granic. W Stanach Zjednoczonych zdarzały się przypadki, kiedy wykorzystując powtarzający się problem z płaceniem gotówką przy parkometrze, wyłudzano dane kart kredytowych. Z myślą o kierowcach, którzy nie mogli uiścić opłaty np. z powodu braku drobnych lub nieustannie wypadających z maszyny monet, oszuści umieszczali na parkometrach kody QR z informacją, że umożliwiają one otwarcie aplikacji, która pozwala dokonać płatności. Kod przenosił jednak kierowców nie na miejski portal, a do strony, która prosiła o podanie danych ich karty kredytowej. Ci kierowcy, którzy się na to nabrali, nie tylko padli ofiarą oszustwa, ale na dodatek płacili mandat za brak biletu postojowego.
Holenderscy oszuści postanowili natomiast zagrać na dobrych odruchach ludzkiego serca. Prosili przechodniów o przekazanie datku na cele charytatywne, podsuwając im do zeskanowania kod, który prowadził do mającego gromadzić środki pomocowe portalu. Rzecz jasna potrzebujący (o ile istnieli na prawdę) nigdy przekazanych pieniędzy nie zobaczyli.
Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego polskiego sektora finansowego działający przy KNF w marcu tego roku poinformował o oszustach podszywających się pod bank PKO. Na stronie łudząco podobnej do strony banku umieścili kod QR, który miał przekierowywać do aplikacji mobilnej banku. Przekierowywał jednak na fałszywą witrynę wyłudzającą dane.
Inny przykład to podszywanie się pod popularny portal Vinted. Kod Quick Response miał w tym przypadku służyć odebraniu środków z dokonanej transakcji. I podobnie jak w poprzednim przypadku, przekierowywał jednak do sfałszowanej strony bankowej.
PRZECZYTAJ TAKŻE
Czy płacić okup po ataku ransomware? Oto, co radzi agent Secret Service
Stephen Nix, agent specjalny amerykańskiego Secret Service, odpowiedzialny za cyberbezpieczeństwo, na stronach MIT Sloan School of Management radzi, co zrobić w przypadku ataku hakerskiego. Szczególny nacisk kładzie na sytuację, w której firmowa infrastruktura IT zostanie zaatakowana wirusem typu ransomware.
Think Quick, Don’t Click
By pokazać, jak łatwo nabrać się na oszustwa z użyciem QR kodów, grupa Surveillance Technology Oversight Project z Nowego Yorku przeprowadziła eksperyment społeczny „Think Quick, Don’t Click”. Na plakatach zapraszających na spektakl komediowy, konkurs wiedzy o Nowym Yorku czy do salonu gier, które rozwieszono w mieście, umieściła kody QR. Zamiast obiecanych programów komediowych, konkursów z ciekawostkami i gier, kody przenosiły niczego niepodejrzewających nowojorczyków na platformę edukującą o zagrożeniach cybernetycznych.
Fragment plakatu zachęcającego nowojorczyków do udziału w zabawie. W rzeczywistości przekierowuje do strony informującej o zagrożeniach związanych z takim niefrasobliwym klikaniem w kody QR.
Jak się chronić?
Pierwszą rzeczą, która powinna wzbudzić czujność, gdy chce się użyć kodu QR, jest zastosowanie w nim skróconego linku. Jego obecność można zweryfikować, używając aplikacji, które przed otwarciem strony wyświetlają jej adres. Zanim jednak w ogóle zeskanuje się kod, dobrze jest przyjrzeć mu się dokładnie i sprawdzić, czy przypadkiem oryginalny nie został zastąpiony fałszywym, np. poprzez naklejenie na poprzedni. Pamiętać należy też o podstawowych zasadach bezpieczeństwa – nie wolno ufać nieznanym nadawcom, nie wolno klikać w linki przez nich przysłane, a przede wszystkim – warto ufać własnej intuicji.