Kody QR są dziś obecnie wszędzie. Ludzie używają ich do otwierania witryn internetowych, pobierania aplikacji, zbierania punktów lojalnościowych, dokonywania płatności czy przesyłania pieniędzy. Jest to bardzo wygodne rozwiązanie, ale jest pewien haczyk: cyberprzestępcy również próbują na tym zarobić i opracowali już wiele sztuczek opartych o korzystanie z kodów QR.
Kod QR przygotowany przez cyberprzestępców może prowadzić do strony phishingowej, która wygląda jak strona logowania do portalu społecznościowego lub systemu internetowego banku. W związku z tym zalecamy, aby zawsze sprawdzać łącza przed ich otwarciem. Kod QR nie daje takiej możliwości, a atakujący często używają skróconych łączy, co jeszcze bardziej utrudnia rozpoznanie fałszywego odnośnika, gdy smartfon prosi o potwierdzenie jego otwarcia. Podobne sztuczki mogą wprowadzać użytkowników w błąd, prowadząc do pobrania złośliwego oprogramowania zamiast zamierzonej aplikacji.
Ta mnogość możliwości sprawia, że kody QR doskonale nadają się do manipulacji i dystrybucji za pośrednictwem wielu kanałów — w tym mediów społecznościowych. Bardzo dobry przykład został przedstawiony we wcześniejszym artykule na blogu — był to artykuł mojego kolegi Karstena Hahna o kodach QR, które reklamowały pirackie oprogramowanie w celu zwabienia ludzi do pobrania złośliwego rozszerzenia Chrome zamiast oczekiwanego oprogramowania.
A sposobów na wykorzystanie kodów QR w oszustwach jest znacznie więcej.
Co to są kody QR?
Kody QR są w zasadzie nieco bardziej wyrafinowaną wersją kodów kreskowych. W tym tkwi cały problem: takie kody nie są przeznaczone do odczytu przez człowieka, dlatego nie ma możliwości sprawdzenia zawczasu tego, jakie dane są w nich zawarte i co może się stać po ich zeskanowaniu. Musimy zatem polegać na uczciwości i dobrych intencjach twórcy kodu. Taki system można wykorzystać na wiele sposobów.
Wiele współczesnych smartfonów ma wbudowany skaner kodów QR. Każdy może też pobrać aplikację, która jest w stanie odczytać wszystkie kody QR. Aby zeskanować kod QR, użytkownik po prostu otwiera aplikację skanera i kieruje aparat swojego telefonu na wyświetlany kod. W większości przypadków smartfon wysyła wtedy powiadomienie o konieczności przejścia do określonej witryny internetowej lub pobrania aplikacji.
Tego typu kod można znaleźć np. na ścianie muzeum, a zeskanowanie go za pomocą oficjalnej aplikacji muzealnej pozwala zainicjować zwiedzanie z wirtualnym przewodnikiem. Oprócz linku do witryny internetowej lub pliku audio, kod QR może zawierać cyfrowy plik kontaktowy z nazwiskami, numerami telefonów i adresami e-mail, dzięki czemu przydatne będzie np. wydrukowanie go na wizytówce. W ten sposób można natychmiast dodać dane kontaktowe z wizytówki do kontaktów w telefonie — bez konieczności ich wpisywania. Inne możliwości kodów QR obejmują udostępnienie lokalizacji, wysłanie wiadomości tekstowych, dodawanie wydarzeń do kalendarza lub konfigurowanie preferowanej sieci Wi-Fi wraz z danymi logowania w celu automatycznego nawiązania połączenia. Możliwe jest nawet umieszczanie w kodzie QR całych programów, choć trzeba przyznać, że jest to raczej niszowe zastosowanie, które nie doczekało się jeszcze popularności.
Jak działają przestępcy?
Atakujący, którzy chcą wyrządzić szkodę za pomocą kodu QR, muszą najpierw przekonać użytkownika do jego zeskanowania. Dominują tu dwie taktyki:
- Sztuczka z zamianą. Nierzadko atakujący wykorzystują pracę i reputację legalnie działających podmiotów, zastępując prawdziwy kod QR (np. na plakacie) swoim własnym.
- Sztuczka ze złośliwym źródłem. Cyberprzestępcy mogą umieścić kod QR z linkiem do swojego dzieła w wiadomości e-mail, na stronie internetowej, banerze, a nawet drukowanej reklamie. Celem takiego działania jest często skłonienie ofiar do pobrania złośliwej aplikacji. W wielu przypadkach obok kodu QR widnieją loga sklepów Google Play i App Store, które mają za zadanie zwiększyć wiarygodność kodów.
Możliwości są niemal nieograniczone. Kody QR często są też wykorzystywane na rachunkach za media, broszurach, tablicach informacyjnych w biurach, w prezentacjach PowerPoint i praktycznie wszędzie tam, gdzie można znaleźć przydatne instrukcje lub informacje.
Oszustwa z użyciem parkometrów
Nowoczesne parkometry przyjmują płatności gotówką, kartą lub przy użyciu aplikacji. Do pobierania płatności nie stosuje się jednak kodów QR.
Modernizacja dosięga także starych, dobrych parkometrów przyjmujących gotówkę. Oprócz monet, do uiszczenia opłaty za parking często można także użyć aplikacji. To bardzo wygodne rozwiązanie — prawdopodobnie każdemu z nas zdarzyło się, że parkometr lub inny automat do sprzedaży bez wyraźnego powodu odrzucił wrzucone monety.
Zamiast tego możemy otworzyć aplikację, wprowadzić kod parkometru i zapłacić bezpośrednio za jej pomocą. Wygoda takiego rozwiązania idzie jednak w parze z pomysłowością przestępców. Na początku tego roku pojawiły się doniesienia o fałszywych naklejkach, które umieszczono na kilku parkometrach w różnych miastach w USA. Zostały one zaprojektowane tak, aby wyglądały, jakby można było po prostu zeskanować kod i w ten sposób uiścić opłatę za parkowanie — co byłoby jeszcze wygodniejsze. Problem w tym, że tego kodu QR nie przygotowały władze z myślą o udostępnieniu nowego sposobu płatności. W najgorszym przypadku możemy więc nie tylko stracić pieniądze, którymi chcieliśmy zapłacić za parking, ale także ponieść konsekwencje przekazania przestępcom danych dotyczących płatności, takich jak numer karty kredytowej. Jakby tego było mało, możemy też ponieść surowe konsekwencje braku „prawdziwej” opłaty za parkowanie.
Kody QR są powszechnie używane do wielu zastosowań, dlatego z pozoru ich użycie do obsługi płatności ma sens. Często jednak administracja publiczna NIE decyduje się na korzystanie z kodów QR właśnie z tego powodu: są one zbyt łatwe do podrobienia. To właśnie dlatego warto zawczasu poznać związane z nimi metody oszustw.
Z punktu widzenia przestępców jest to schemat o stosunkowo małym ryzyku. Wydrukowanie wysokiej jakości, profesjonalnie wyglądających naklejek jest łatwe i tanie, dlatego nakłady na materiały są minimalne. Cała potęga tkwi w liczbach. Po otrzymaniu pierwszej płatności za pomocą fałszywego kodu QR przestępcy praktycznie wychodzą już na zero, dlatego każda kolejna płatność to czysty zysk — zwłaszcza jeśli przy pobieraniu płatności można też wykraść dane karty kredytowej. Gdy wziąć pod uwagę skalę takiego działania — obejmującą np. kilkadziesiąt parkometrów w zamożnej dzielnicy — wszystko staje się jasne.
Obcy w potrzebie
Przestępcy często żerują na chęci innych ludzi do niesienia pomocy.
W Holandii odnotowano przypadki nakłaniania nieznajomych na ulicy do skanowania kodów QR w celu przekazania niewielkiej kwoty pieniędzy. Takie prośby mogą dotyczyć opłaty za parkowanie, biletu komunikacji miejskiej lub czegokolwiek innego, co wiąże się z pomocą nieznajomemu w wyjściu z drobnej opresji. Wracając do naszego wcześniejszego przykładu: ktoś może wmawiać nam, że próbował opłacić parking za pomocą monet, ale parkometr je odrzucił. Z jakiegoś powodu taka osoba nie może dokonać płatności za pomocą oficjalnej aplikacji, dlatego proszą nieznajomego o pomoc, używając (zgadza się!) kodu QR, który pokazuje swojej ofierze i prosi o jego zeskanowanie. Kod ten rzekomo wysyła „osobie w potrzebie” niewielką sumę pieniędzy na opłacenie biletu parkingowego przez Internet (lub służy bezpośrednio do uiszczenia takiej opłaty), a niczego nieświadoma ofiara otrzymuje należną kwotę z powrotem w gotówce. Przestępca może sprawiać wrażenie, jakby się spieszył, np. na ważne spotkanie, mówiąc coś w rodzaju „Proszę, automat jest zepsuty i nie przyjmuje monet, a ja naprawdę muszę iść — czy mógłby pan zeskanować ten kod i pomóc mi zapłacić? Od razu oddam pieniądze w gotówce!”. W rzeczywistości jednak wprowadzone dane płatności trafiają w ręce przestępców.
Co możesz zrobić?
- Uważaj na łącza, które pojawiają się po zeskanowaniu kodu. Zachowaj czujność, jeśli link jest skrócony, ponieważ w przypadku kodów QR nie ma żadnego powodu, aby używać tej metody. Zamiast tego skorzystaj z wyszukiwarki lub użyj oficjalnego, sprawdzonego adresu internetowego.
- Przed zeskanowaniem kodu QR na plakacie lub tablicy przyjrzyj mu się dokładnie, aby upewnić się, że nie został naklejony na inny kod.
- Pamiętaj, że wszelkie napisy wydrukowane pod kodem QR lub obok niego nie są w żaden sposób związane z zawartością samego kodu.
- Skorzystaj z programu takiego jak QR Scanner firmy G DATA, który sprawdza kody QR pod kątem złośliwej zawartości i fałszywych witryn.
- Kody QR, podobnie jak kody kreskowe, mogą też zawierać cenne informacje, takie jak numery biletów elektronicznych, dlatego nigdy nie publikuj w mediach społecznościowych zdjęć jakichkolwiek osobistych dokumentów zawierających takie kody. Dotyczy to biletów na koncerty, kart pokładowych i innych. Jeśli koniecznie chcesz udostępnić zdjęcie, pamiętaj, aby przynajmniej częściowo zakryć kod — jakimś przedmiotem, który masz pod ręką albo choćby palcami.
- Świadomość to pierwszy krok na drodze do ochrony przed cyberprzestępcami. Jeśli ktoś podejdzie do Ciebie na ulicy i poprosi Cię o zeskanowanie kodu QR, będziesz już wiedzieć, że może to być niebezpieczne. Przestępcy bardzo dobrze potrafią wykorzystać Twoją uczynność i często zachowują się tak, jakby się spieszyli, nie dając Ci czasu do namysłu. Nie miej wyrzutów sumienia, jeśli nie udzielisz pomocy osobie, której zwyczajnie nie ufasz.
- Jeśli masz wątpliwości co do autentyczności kodu QR umieszczonego na ulotce, nie skanuj go. Mimo że będzie to nieco bardziej czasochłonne, zawsze możesz samodzielnie odwiedzić daną witrynę internetową, aby uzyskać więcej informacji. Będzie to najlepsze rozwiązanie, gdy nie masz pewności co do autentyczności kodu.
Kiedy należy powiadomić organy?
Jeśli w grę wchodzą pieniądze — Twoje lub Twojego banku — natychmiast zadzwoń do banku, aby tymczasowo zablokować swoje konto. Zawsze warto też zgłosić takie zdarzenie policji. Ustalenie tożsamości sprawców nie zawsze będzie łatwe, ponieważ przestępcy często robią wszystko, aby pozostać anonimowi. Zgłoszenie przestępstwa pozwoli jednak choćby na lepsze poznanie skali problemu.
Jeśli natrafisz na podejrzany kod w witrynie lub aplikacji, zawsze zgłoś konto, od którego pochodzi. Ułatwi to jego zablokowanie i zapobiegnie sytuacji, w której ktoś inny również padnie ofiarą ataku.
Kody QR powstały dla naszej wygody, jednak zawsze musimy dokładnie sprawdzać, czy powinniśmy ich użyć!