Kody QR, które kiedyś postrzegano jako wygodny sposób na sprawdzenie menu czy opłacenie rachunków, coraz częściej stają się bronią. Fałszywe SMS-y z dostawą, podrobione linki do płatności i złośliwe kody naklejane na legalne kody stały się częścią współczesnych metod oszustwa.
Najnowsze ostrzeżenie władz federalnych pokazuje, jak daleko zaszły te taktyki. Przestępcy wysyłają teraz paczki, których ludzie nigdy nie zamawiali. Wewnątrz tych pudełek znajduje się kod QR, który po zeskanowaniu może doprowadzić do kradzieży danych osobowych, opróżnienia kont bankowych lub uruchomienia złośliwego systemu w tle na telefonie.
Proceder ten jest odmianą oszustwa znanego jako „brushing scam”. Tradycyjnie oszustwa polegały na tym, iż sprzedawcy internetowi wysyłali produkty nieznajomym, a następnie wykorzystywali dane odbiorcy do publikowania fałszywych recenzji. Było to raczej uciążliwe niż poważne przestępstwo.
Teraz praktyka ta zmieniła się z nieszkodliwych, darmowych przedmiotów w celowe oszustwo. Zamiast produktu, wiele ofiar otrzymuje jedynie wydrukowany kod QR. Po zeskanowaniu kod przekierowuje do fałszywych stron internetowych, które proszą o podanie poufnych danych osobowych, takich jak dane bankowe, numery kart kredytowych czy dane logowania. Niektóre kody idą o krok dalej i instalują złośliwe oprogramowanie, którego celem jest śledzenie aktywności i kradzież danych bezpośrednio z urządzenia.
„FBI ostrzega opinię publiczną przed odmianą oszustwa, w której przestępcy wysyłają niechciane paczki zawierające kod QR, który nakłania odbiorcę do podania danych osobowych i finansowych lub nieświadomego pobrania złośliwego systemu kradnącego dane z telefonu” – poinformowała agencja w komunikacie publicznym. „Aby zachęcić ofiarę do zeskanowania kodu QR, przestępcy często wysyłają paczki bez danych nadawcy, aby nakłonić ofiarę do zeskanowania kodu QR”.
Kody QR stały się powszechne w życiu codziennym. Są używane w restauracjach, sklepach, na lotniskach, w lokalach wyborczych i systemach płatności, a większość ludzi skanuje je bez namysłu. W przeciwieństwie do podejrzanych linków, które można łatwo wykryć, kod QR nie ujawnia niczego, dopóki nie zostanie zeskanowany.
To sprawia, iż jest to idealne kamuflaż dla oszustwa. Schemat działania jest prosty: paczka przychodzi bez informacji o nadawcy i bez wyjaśnienia. Tajemnica rozbudza ciekawość i wiele osób skanuje kod, aby dowiedzieć się, kto go wysłał. Oszuści wykorzystują właśnie tę chwilę ciekawości.
Konsekwencje mogą być poważne. Fałszywe strony internetowe mogą gromadzić nazwiska, adresy i dane finansowe. Złośliwe oprogramowanie może dyskretnie monitorować konta, rejestrować naciśnięcia klawiszy, a choćby atakować portfele kryptowalutowe. Ofiary często nie zauważają tego, dopóki nie zobaczą nieautoryzowanych opłat lub podejrzanych wypłat. Do tego czasu ich dane mogą już trafić w ręce przestępców.
Oszuści wykorzystują ciekawość i wygodę, aby nakłonić ludzi do zeskanowania złośliwych kodów QR. Kilka prostych nawyków pomoże Ci uniknąć stania się ofiarą. Oto siedem sposobów na ochronę przed oszustwami z wykorzystaniem kodów QR.
Unikaj skanowania kodów QR z tajemniczych przesyłek, przypadkowych ulotek lub naklejek na publicznych tablicach. Kod QR to tylko ukryty link i dopóki nie wiesz, dokąd prowadzi, nie warto mu ufać. Aby zachować bezpieczeństwo, choćby jeżeli przypadkowo zeskanujesz ryzykowny kod, zainstaluj w telefonie solidne oprogramowanie antywirusowe. Aplikacje zabezpieczające na urządzenia mobilne mogą blokować fałszywe witryny, ostrzegać przed pobieraniem plików i chronić przed złośliwymi atakami opartymi na kodach QR.
Większość telefonów pozwala nacisnąć i przytrzymać link z kodem QR, aby podejrzeć, dokąd prowadzi. jeżeli adres URL wygląda podejrzanie, zawiera błędy ortograficzne, losowe liczby lub skrócone linki, nie otwieraj go. Poświęcenie chwili na sprawdzenie może uchronić Cię przed pułapką phishingową.
Im mniej danych osobowych jest dostępnych online, tym trudniej oszustom będzie zaatakować Cię przekonującymi próbami oszustwa. Rozważ skorzystanie z usług usuwania danych, które usuwają Twoje dane z wyszukiwarek osób i baz danych marketingowych. Zmniejsza to ryzyko, iż Twój adres lub numer telefonu trafią w niepowołane ręce i zostaną powiązane z oszustwem.
Chociaż żadna usługa nie obiecuje usunięcia wszystkich Twoich danych z Internetu, skorzystanie z usługi usuwania danych jest świetnym rozwiązaniem, jeżeli chcesz stale monitorować i automatyzować proces usuwania swoich informacji z setek witryn przez dłuższy okres czasu.
Nawet jeżeli Twoje dane logowania zostaną skradzione, uwierzytelnianie dwuskładnikowe (2FA) utrudnia przestępcom dostęp do Twoich kont. Wymagając podania dodatkowego kodu wysłanego na telefon lub wygenerowanego dzięki aplikacji uwierzytelniającej, uwierzytelnianie dwuskładnikowe (2FA) pomaga zapobiegać nieautoryzowanym logowaniom do Twoich kont bankowych, e-mail i handlowych.
Aktualizacje systemu często zawierają poprawki luk w zabezpieczeniach, które oszuści próbują wykorzystać. Korzystanie z najnowszej wersji systemu operacyjnego telefonu oraz regularne aktualizowanie aplikacji zapewnia lepszą ochronę przed złośliwym oprogramowaniem, które może zostać rozsyłane za pośrednictwem złośliwego kodu QR.
Jeśli pod Twoje drzwi dotrze nieoczekiwana paczka z kodem QR w środku, nie wyrzucaj jej po prostu. Zgłoś to lokalnym władzom i rozważ złożenie skargi do Centrum Zgłaszania Przestępstw Internetowych FBI. Zgłoszenie nie tylko pomoże Ci się chronić, ale także dostarczy organom ścigania więcej informacji, które pozwolą Ci śledzić rozprzestrzenianie się tych oszustw.
To oszustwo może jeszcze nie być powszechne, ale pokazuje, jak gwałtownie przestępcy adaptują się do nowych technologii. Kody QR miały ułatwiać życie i w większości przypadków tak właśnie jest, ale ta sama wygoda może stać się słabością, gdy ciekawość bierze górę nad ostrożnością. Lekcja, jaką można z tego wyciągnąć, jest taka, iż tajemnicza paczka z kodem QR to nie tylko przyjemna łamigłówka. To sygnał ostrzegawczy. Najbezpieczniej jest się wycofać, oprzeć się pokusie zeskanowania kodu, a jeżeli coś wydaje się podejrzane, zgłosić to, zamiast wchodzić z tym w interakcję.
