Aż 70 proc. Polaków powyżej 18 roku życia skanowało kiedyś kod QR, a 64 proc. robi to regularnie – wynika z badania HX Study, zleconego przez agencję Starcom we współpracy z ekspertami NextTechNow oraz firmami AMS i Hashting. Piktogramy są popularnym sposobem na szybkie uzyskanie informacji, a nawet dokonanie płatności. Nie uszło to uwadze cyberprzestępców, którzy zaczęli tworzyć podrobione piktogramy przekierowujące do fałszywych stron internetowych. Zjawisko stało się na tyle powszechne, że zyskało własną nazwę – quishing. W Polsce znane są już przypadki wykorzystania kodów QR np. do wyłudzania danych przez umieszczenie podrobionych naklejek na parkometrach.
– Coraz częściej spotykamy się z próbami ataków na nasze prywatne urządzenia, kradzieży tożsamości, dostępów do aplikacji i kont w portalach społecznościowych, a następnie wyłudzeń finansowych. Niestety jesteśmy świadkami pewnego sprzężenia zwrotnego – im bardziej przez cyfryzację ułatwiamy sobie życie, tym więcej jego aspektów jest wystawionych na ryzyko działania cyberprzestępców – mówi Paweł Jurek, ekspert firmy Dagma Bezpieczeństwo IT.
Z życia wzięte
Za pomocą kodu QR właściciele smartfonów mogą m.in. realizować płatności online, skasować bilet komunikacji miejskiej czy przeglądać menu restauracji. Dla co drugiego Polaka najistotniejszym powodem wykorzystywania kodów jest szybkość dostępu do informacji (51 proc.). Kolejne wskazania to możliwość uzyskania zniżek lub rabatów (45 proc.), dostęp do dodatkowych informacji (31 proc.), a także brak konieczności dotykania ekranu lub ulotki (27 proc.) – wynika z badania HX Study.
Skanowanie kodów QR w miejscach publicznych może jednak wiązać się z próbą oszustwa, o czym przekonali się m.in. kierowcy z Krakowa. W ubiegłym roku na niektórych parkometrach w Krakowie umieszczono fałszywe piktogramy, które umożliwiły przestępcom przechwycenie danych z kart płatniczych. Wykorzystana do wyłudzenia strona internetowa bardzo przypominała witrynę Zarządu Dróg Miasta Krakowa. W rezultacie część kierowców straciła pieniądze.
– Zapłacić za parkowanie czy bilet wstępu po zeskanowaniu kodu QR można w wielu parkach narodowych, np. kierowcy mogą skorzystać z tej opcji przy wejściu do Tatrzańskiego Parku Narodowego czy Karkonoskiego Parku Narodowego. Tablice z piktogramami często stoją w odludnych miejscach, gdzie oszuści bardzo łatwo mogą je podmienić. Tymczasem przez cały rok tymi szlakami wędruje tysiące turystów, którzy mogą być poważnie narażeni na quishing – ostrzega Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.
Ale to nie jedyny pomysł cyberprzestępców. W ubiegłym roku mieszkańcy Warszawy znajdowali za wycieraczkami samochodów mandaty z kodami QR. Po zeskanowaniu kierowca był kierowany na fałszywą stronę, na której mógł pozostawić dane. W ten sposób oszuści mogą uzyskać dostęp nie tylko do loginów płatniczych, lecz także do imienia, nazwiska, numeru PESEL lub dowodu osobistego, co może posłużyć np. do zaciągnięcia kredytu. Kolejnym zagrożeniem związanym z fałszywymi kodami jest możliwość zainfekowania telefonu złośliwym oprogramowaniem. Wówczas przestępcy zyskują dostęp do wielu danych zgromadzonych na urządzeniu.
Ostrożność popłaca
Ministerstwo Cyfryzacji, Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego Komisji Nadzoru Finansowego (CSIRT KNF) oraz Zespół Szybkiego Reagowania na Incydenty Komputerowe (CERT) niestrudzenie ostrzegają przed zagrożeniem z wykorzystaniem quishingu.
Znamienne jest bowiem, że o byciu ofiarą tego procederu najczęściej dowiadujemy się z opóźnieniem. Wyjątek stanowi sytuacja, gdy z konta bankowego znikają pieniądze. W przypadku, gdy przestępcy przejmą dane osobowe pozostawione na formularzu albo zainfekują smartfon, często ich ofiary mogą nie skojarzyć negatywnych skutków takich działań z zeskanowaniem fałszywego piktogramu np. na parkingu w czasie ferii zimowych. Kiedy więc mamy do czynienia z kodem QR umieszczonym w miejscu publicznym, lepiej wejść na stronę internetową usługodawcy i zapłacić za jej pośrednictwem.
– Należy pamiętać, że kody QR to również linki i zeskanowanie znaku graficznego może być tak samo niebezpieczne jak otwarcie odnośnika otrzymanego mailem czy SMS-em. Każdy może nakleić fałszywy piktogram na parkometr, plakat na przystanku czy sklepową lub restauracyjną witrynę. Warto więc wyłączyć w smartfonie opcję automatycznego skanowania kodów QR bądź samodzielnie wpisać adres strony w przeglądarkę i upewnić się, że cyberprzestępcy nie podmienili podobnie wyglądających liter. Należy również bardzo ostrożnie podawać dane osobowe lub loginy do bankowości internetowej, szczególnie podczas dokonywania płatności. Czerwona lampka powinna się nam także zapalić, jeśli po zeskanowaniu znaku jesteśmy proszeni o pobranie pliku, aplikacji lub aktualizacji – wyjaśnia Bartłomiej Drozd.