Post

Oszustwa z kodem QR powracają

Właśnie wtedy, gdy myśleliśmy, że kod QR jest w drodze do wyjścia, pandemia doprowadziła do powrotu skrótu skanującego. COVID-19 oznaczał znalezienie cyfrowego odpowiednika rzeczy normalnie wydawanych fizycznie, takich jak menu, przewodnicy i inne formalności, a wiele organizacji przyjęło kod QR, aby pomóc w tym. I tak, wydaje się, mają przestępców. Oszuści odkurzyli swoją księgę sztuczek, które nadużywają kodów QR, a my zaczynamy dostrzegać nowe oszustwa. A może po prostu stare oszustwa w nowych miejscach.

Co to jest kod QR?
Szybkie podsumowanie dla tych, którzy go przegapili. Kod QR (Quick Response) to nic innego jak dwuwymiarowy kod kreskowy. Ten typ kodu został zaprojektowany tak, aby mógł być odczytany przez roboty, które śledzą przedmioty w fabryce. Ponieważ kod QR zajmuje dużo mniej miejsca niż dotychczasowy kod kreskowy, jego użycie szybko się rozprzestrzenia.

Smartfony potrafią z łatwością odczytywać kody QR - wystarczy aparat fotograficzny i małe oprogramowanie. Niektóre aplikacje, takie jak aplikacje bankowe, mają wbudowane oprogramowanie do odczytywania kodów QR, aby ułatwić użytkownikom dokonywanie płatności online. W niektórych innych przypadkach kody QR są używane jako część procedury logowania.

Kody QR są łatwe do wygenerowania i trudno je rozróżnić. Dla większości ludzkich oczu, wszystkie wyglądają tak samo. Mniej więcej w ten sposób:

Dlaczego wracają kody QR?
Przez pewien czas te kody QR były używane głównie w środowiskach przemysłowych, aby pomóc w śledzeniu zapasów i produkcji. Później zyskały one pewną popularność wśród reklamodawców, ponieważ łatwiej było konsumentom zeskanować kod niż wpisać długi adres URL. Ale ludzie nie mogli odróżnić od kodu QR, gdzie skanowanie prowadziłoby ich, więc dostali ostrożny i kody QR zaczęły znikać. Potem przyszła pandemia i przedsiębiorcy musieli wykazać się kreatywnością w ochronie swoich klientów przed prawdziwą infekcją wirusową.

Dla przykładu, z obawy przed rozpowszechnieniem COVID-19 przez wiele osób dotykających tego samego menu w restauracji, firmy umieściły na swoich stołach kody QR, aby klienci mogli zeskanować kod i otworzyć menu w przeglądarce na swoim telefonie. Czysto i łatwo. Chyba, że poprzedni gość, który miał złe intencje, zastąpił kod QR swoim własnym. Wprowadź kod QR oszustwa.

Niektóre znane przekręty z kodem QR
Najłatwiejszym oszustwem z kodem QR jest kliknięcie. Niektórym osobom płaci się, aby zwabić innych do kliknięcia na dany link. Nie ma lepszego sposobu niż zastąpienie kodów QR na przykład na popularnym pomniku, gdzie ludzie oczekują, że znajdą informacje na temat tego punktu orientacyjnego, klikając na link w kodzie QR. Zamiast tego, zastąpiony kod QR zabiera je na leniwe miejsce, a operator klikujący otrzymuje swoją opłatę.

Kolejną sztuczką jest przekręt z małą zaliczką. W przypadku niektórych usług akceptowane jest płacenie z góry, zanim będziesz mógł skorzystać z tej usługi. Na przykład, aby wypożyczyć wspólny rower, należy dokonać niewielkiej wpłaty w celu otwarcia zamka na rowerze. Kod QR służący do identyfikacji roweru i rozpoczęcia procedury płatności jest wydrukowany na rowerze. Legalne kody QR mogą jednak zostać zastąpione przez przestępców, którzy są zadowoleni z otrzymania tych drobnych płatności na własny rachunek.

Linki phishingowe można równie łatwo ukryć jak kody QR. Phisherzy umieszczają kody QR tam, gdzie ma to sens dla użytkownika. Tak więc, na przykład, jeśli ktoś oczekuje, że zaloguje się, aby rozpocząć procedurę płatności lub uzyskać dostęp do określonej usługi, oszuści mogą umieścić tam kod QR. Widzieliśmy również maile phishingowe wyposażone w fałszywe kody QR.

Powyższy e-mail poinstruował odbiorcę, aby zainstalował "aplikację zabezpieczającą" ze swojego banku w celu uniknięcia zablokowania jego konta. Wskazał on jednak na złośliwą aplikację poza sklepem internetowym. Użytkownik musiał pozwolić na instalację z nieznanego źródła, co powinno było być ogromną czerwoną flagą, ale i tak niektórzy się na to zakochali.

Wreszcie, jest przekręt z płatnościami bezpośrednimi, który został wykorzystany przez stronę internetową, która ułatwiła płatności Bitcoin. Podczas gdy użytkownik wprowadził adres Bitcoin jako odbiornik, strona wygenerowała kod QR dla innego adresu Bitcoin, aby otrzymać płatność. Jest to kolejny przekręt, który pokazuje, że kody QR są zbyt trudne do odczytania dla ludzi.

Jak uniknąć oszustw związanych z kodami QR
Istnieje kilka zdroworozsądkowych metod, aby uniknąć gorszych przekrętów z kodem QR:

  • Nie należy ufać wiadomościom od nieznanych nadawców.
  • Nie należy skanować kodu QR osadzonego w emailu. Traktuj je tak samo jak linki, ponieważ, cóż, takie właśnie są.
  • Sprawdź, czy na oryginale nie została przyklejona inna naklejka z kodem QR, a jeśli tak, to trzymaj się od niej z daleka. Albo jeszcze lepiej, zapytaj, czy jest OK, aby ją usunąć.
  • Użyj skanera QR, który sprawdza lub wyświetla adres URL, zanim podąży za linkiem.
  • Użyj blokady oszustwa lub filtra sieciowego w urządzeniu, aby chronić się przed znanymi oszustwami.

Nawet jeśli poczta z banku wygląda na legalną, powinieneś przynajmniej dwukrotnie sprawdzić w banku (używając numeru kontaktowego, który znalazłeś na liście lub jego stronie internetowej), czy prosi Cię o zalogowanie się na stronie innej niż jego własna, zainstalowanie oprogramowania lub zapłacenie za coś, czego nie zamówiłeś.

Jako dodatkowy środek ostrożności, nie używaj aplikacji bankowej do skanowania kodów QR, jeśli wykraczają one poza normalny schemat procedury płatności.

Czy chcę wiedzieć, co dalej?
Może nie, ale ostrzeżony jest uzbrojony. Jedną z opracowywanych metod zastępowania kodów QR na urządzeniach z systemem Android jest tag Near Field Communication (NFC). Tagi NFC, podobnie jak kody QR, nie wymagają aplikacji, aby odczytać je na bardziej nowoczesnych urządzeniach. Większość z ostatnich iPhone'ów i Androidów może odczytywać inne tagi NFC bez konieczności stosowania dodatkowego oprogramowania, chociaż starsze modele mogą potrzebować aplikacji do ich odczytu.

Tagi NFC są również niemożliwe do odczytania przez ludzi, ale wymagają rzeczywistej obecności, tzn. nie mogą być wysłane pocztą. Jednak wraz ze wzrostem popularności płatności bezdotykowych, możemy zaobserwować więcej oszustw skupiających się na tego typu komunikacji.

Trzymajcie się, wszyscy!

 

Komentarze (0)

Zostaw komentarz