Nie zauważysz tego oszustwa. „Rozprzestrzenia się za pośrednictwem wiadomości, e-maili lub na WhatsAppie”

Tym razem nie chodzi o klikanie w linki. Jako że większość internautów dobrze zna ten sposób oszustwa, przestępcy znaleźli inną metodę: wysyłają swoim ofiarom kody QR, które mają umożliwić „przekazanie środków”, „potwierdzenie zamówienia” lub „odbiór nagrody”. W rzeczywistości prowadzą do fałszywej witryny lub powodują zainstalowanie na urządzeniu złośliwego oprogramowania.

Wystarczy zeskanować kod QR

Oszustwo z użyciem kodów QR stało się tak popularne, że doczekało się nawet swojej nazwy – to tzw. quishing. Skuteczność „zawdzięcza” faktowi, że kody QR nie zdradzają, do jakiej witryny prowadzi link.

Nawet jeśli zdecydujemy się to sprawdzić za pomocą kamery w smartfonie, nazwa strony internetowej będzie częściowo ucięta. Nie zauważymy więc podejrzanych znaków w odnośniku – a to może uśpić naszą czujność. Belgijska Federalna Gospodarka Służby Publicznej wyjaśnia, kody QR mogą być przesyłane różnymi kanałami.

W przypadku quishingu kody QR są dystrybuowane za pośrednictwem e-maili, wiadomości tekstowych lub wiadomości WhatsApp. Za tymi kodami QR kryją się ukryte kody URL, które wydają się pochodzić od oficjalnych organów i które są kierowane przez ofiary do zapłaty (fikcyjnej) grzywny lub rachunku. Komunikat belgijskiej Federalnej Gospodarki Służby Publicznej

Przeczytaj też: Najbezpieczniejszy smartfon – ranking

Jak udało nam się ustalić, w Polsce do osób najbardziej narażonych na oszustwo należą osoby korzystające z platform sprzedażowych oraz młodsi użytkownicy internetu.

W pierwszym przypadku oszustwo przypomina metodę znaną użytkownikom Allegro i OLX – w naszej skrzynce pojawia się wiadomość, że przedmiot został sprzedany, a potwierdzenie zamówienia oraz otrzymanie środków za sprzedany przedmiot nastąpi po zeskanowaniu QR kodu. Oszuści – tak jak w innych przypadkach – próbują nas przekierować na fałszywą stronę. Nie prowadzi do niej jednak zmodyfikowany link, ale kod QR.

To nowy sposób na oszustwo. Już nie piszą, że kurier spakuje przesyłkę, ale najzwyczajniej przesyłają kod QR do zeskanowania – ostrzega pani Marta, członkini grupy „OSZUSTWA OLX”.

Inny użytkownik – pan Cezary – wyjaśnia, że po zeskanowaniu kodu zostaniemy przeniesieni na stronę, za pomocą której oszuści będą próbowali wyłudzić hasło do naszego konta bankowego lub dane karty kredytowej. Schemat jest więc bardzo podobny do tego, który możemy spotkać przy tradycyjnych oszustwach wymagających kliknięcia w link.

Oszuści szukają ofiar wśród dzieci

Większy niepokój wzbudza jednak sytuacja, w której ofiarami oszustwa stają się dzieci. CERT podaje, że oszuści znajdują ofiary na otwartych grupach w serwisach społecznościowych lub – alternatywnie – na komunikatorach takich jak Discord.

Na podstawie (…) informacji (znalezionych na platformie – przyp. red.) budują profil ofiary, sprawdzając zainteresowania lub listę znajomych. Zdobytą wiedzę wykorzystują podczas nawiązywania kontaktu, stosując przy tym różne techniki: podają się za dalszego znajomego potrzebującego pomocy lub oferują otrzymanie płatnych przedmiotów w grach w zamian za przysługę. Komunikat na stronie CERT

Następnie oszuści proszą młodych użytkowników o zainstalowanie aplikacji „Wiadomości Google“, która umożliwia zeskanowanie przesłanego za pośrednictwem komunikatora (np. Discorda) kodu QR i sparowanie urządzenia z aplikacją.

Po zeskanowaniu kodu cyberprzestępcy zyskują dostęp do wiadomości (zarówno przychodzących, jak i wychodzących) oraz listy kontaktów. CERT podaje, że pozyskane dane mogą zostać wykorzystane na wiele sposobów, jednak najpopularniejsze działania podejmowane przez oszustów to obciążenie rachunku poprzez wysyłanie wiadomości SMS typu Premium lub szantaż wykorzystujący informacje zawarte w wiadomościach i listę kontaktów.

Ale na tym się nie kończy.

Uzyskane dostępy mogą posłużyć np. do przejęcia drugiego składnika uwierzytelniania (jeżeli ofiara wykorzystuje do tego wiadomości SMS) lub prób oszustwa skierowanych w kontakty ofiary z wykorzystaniem jej urządzenia. Komunikat na stronie CERT

Oszuści podszywają się pod instytucje

Platformy sprzedażowe i komunikatory to niejedyne miejsca, w których oszuści polują na swoje ofiary – belgijskie Ministerstwo Finansów poinformowało o przypadkach, w których oszuści podszywają się pod oficjalną organizację i próbują skłonić użytkowników do „opłacenia faktury“.

(Oszuści – przyp. red.) wysyłają kody QR w e-mailach, wiadomościach tekstowych lub wiadomościach WhatsApp, a kiedy ofiary skanują kod QR, są kierowane do witryn phishingowych, gdzie oszuści próbują ukraść ich dane bankowe (…) lub skłonić ich do zapłaty.

Kody QR są również używane do instalowania złośliwego oprogramowania na komputerach ofiar, a tym samym do kradzieży danych osobowych, takich jak dane bankowe czy dane logowania. Komunikat na oficjalnej stronie belgijskiego Ministerstwa Finansów

Eksperci radzą, jak uchronić się przed quishingiem

CERT podkreśla, że najważniejsze jest budowanie świadomości – oszuści wciąż mają nowe sposoby, więc znajomość konkretnego schematu nie jest gwarancją bezpieczeństwa.

W przypadku dzieci eksperci polecają dość radykalne rozwiązanie, jakim jest całkowite zrezygnowanie z aplikacji Wiadomości Google – bo chociaż sama w sobie jest bezpieczna, do tej pory była notorycznie wykorzystywana przez oszustów polujących na młodych użytkowników.

Pewne jest natomiast, że wszelkie kody QR otrzymane od nieznajomych warto traktować jako próbę potencjalnego oszustwa – nawet jeśli jej nadawca gwarantuje nam bezpieczeństwo lub obiecuje atrakcyjną nagrodę.

Źródło: oprac. własne, CERT, belgijskie Ministerstwo Finansów. Zdjęcie otwierające: tete_escape

Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.

Artykuł Nie zauważysz tego oszustwa. „Rozprzestrzenia się za pośrednictwem wiadomości, e-maili lub na WhatsAppie” pochodzi z serwisu ANDROID.COM.PL - społeczność entuzjastów technologii.