Oszuści przenoszą kampanie SMS o mandatach do kodów QR

securitybeztabu.pl 1 dzień temu

Wprowadzenie do problemu / definicja

Cyberprzestępcy rozwijają kampanie smishingowe, w których podszywają się pod sądy, wydziały komunikacji i inne instytucje stanowe w USA. Najnowsza odsłona tego procederu wykorzystuje kody QR zamiast tradycyjnych linków, aby skłonić odbiorców do opłacenia rzekomego mandatu, opłaty drogowej lub należności parkingowej.

To przykład tzw. quishingu, czyli phishingu prowadzonego z użyciem kodów QR. Taka metoda utrudnia wykrywanie zagrożenia przez część systemów bezpieczeństwa i zwiększa szansę, iż użytkownik sam przejdzie do fałszywej strony płatności.

W skrócie

Atak rozpoczyna się od wiadomości SMS stylizowanej na pilne wezwanie do uregulowania wykroczenia drogowego. Zamiast bezpośredniego odnośnika wiadomość zawiera obraz z kodem QR, który po zeskanowaniu kieruje ofiarę do wieloetapowego łańcucha przekierowań.

Po drodze użytkownik może zostać poproszony o rozwiązanie testu CAPTCHA, a następnie trafia na stronę imitującą oficjalny serwis urzędowy. Tam przestępcy wyłudzają dane osobowe i dane karty płatniczej, często pod pretekstem niewielkiej opłaty, która ma uśpić czujność ofiary.

Kontekst / historia

Oszustwa związane z fałszywymi mandatami, opłatami drogowymi i parkingowymi były szeroko obserwowane już wcześniej, jednak wcześniejsze kampanie zwykle opierały się na klasycznych linkach umieszczanych bezpośrednio w treści SMS-a. Obecna zmiana pokazuje ewolucję taktyki po stronie przestępców.

Zastąpienie adresu URL kodem QR nie jest przypadkowe. Atakujący dostosowują swoje metody do rosnącej świadomości użytkowników oraz do zabezpieczeń, które coraz skuteczniej wykrywają podejrzane linki. Jednocześnie wykorzystują dobrze znane mechanizmy socjotechniczne: presję czasu, groźbę konsekwencji prawnych i stosunkowo niską kwotę do zapłaty.

Kampanie tego typu mogą być łatwo lokalizowane pod różne stany i regiony, co zwiększa ich wiarygodność. Odbiorca ma wrażenie, iż komunikat pochodzi od znanej, lokalnej instytucji, a sprawa wymaga natychmiastowej reakcji.

Analiza techniczna

Łańcuch ataku zaczyna się od wiadomości pochodzącej z nieznanego numeru lub nadawcy. SMS zawiera grafikę przypominającą oficjalne zawiadomienie o zaległej płatności, a centralnym elementem jest kod QR prowadzący do infrastruktury kontrolowanej przez przestępców.

Po zeskanowaniu kodu użytkownik nie trafia od razu na adekwatny formularz phishingowy. Najpierw przechodzi przez stronę pośrednią, która może służyć do profilowania ofiary, zarządzania przekierowaniem oraz utrudniania analizy przez badaczy bezpieczeństwa i systemy automatyczne.

Włączenie CAPTCHA do tego procesu dodatkowo ogranicza skuteczność narzędzi analizujących podejrzane adresy w sposób automatyczny. Dopiero po wykonaniu tego kroku ofiara zostaje przekierowana do witryny podszywającej się pod urząd lub agencję stanową.

Fałszywe strony są projektowane tak, aby przypominały oficjalne portale administracyjne. Zwykle wyświetlają niewielką zaległość i prowadzą użytkownika przez formularz zbierający:

  • imię i nazwisko,
  • adres zamieszkania,
  • numer telefonu,
  • adres e-mail,
  • dane karty płatniczej.

Z punktu widzenia obrony ważne jest to, iż skutkiem ataku nie musi być wyłącznie pojedyncze obciążenie karty. Zebrane informacje mogą zostać wykorzystane do dalszych oszustw finansowych, kradzieży tożsamości, kolejnych kampanii phishingowych lub sprzedaży danych w cyberprzestępczym obiegu.

Konsekwencje / ryzyko

Najbardziej oczywistą konsekwencją jest utrata środków finansowych i przejęcie danych płatniczych. W praktyce skala ryzyka jest jednak znacznie szersza, ponieważ przestępcy pozyskują także pełen zestaw danych osobowych przydatnych w dalszych nadużyciach.

  • kradzież tożsamości,
  • zakładanie kont lub usług na dane ofiary,
  • przygotowanie kolejnych, bardziej wiarygodnych ataków socjotechnicznych,
  • ukierunkowane oszustwa bankowe,
  • obrót pakietami danych w podziemnym ekosystemie cyberprzestępczym.

Dodatkowym czynnikiem ryzyka jest psychologia ataku. Komunikaty o rzekomych mandatach i obowiązku stawienia się przed sądem wywołują stres, a niska kwota płatności może skłonić ofiarę do szybkiego działania bez weryfikacji autentyczności wiadomości.

Rekomendacje

Użytkownicy indywidualni i organizacje powinni traktować nieoczekiwane SMS-y dotyczące mandatów, opłat drogowych lub spraw urzędowych jako potencjalnie złośliwe, zwłaszcza jeżeli zawierają kod QR. W takich przypadkach warto stosować podstawowe, ale konsekwentne zasady bezpieczeństwa.

  • nie skanować kodów QR z nieoczekiwanych wiadomości,
  • nie korzystać z danych kontaktowych i instrukcji podanych w podejrzanym SMS-ie,
  • weryfikować sprawę wyłącznie przez oficjalny portal instytucji lub numer znaleziony samodzielnie,
  • edukować użytkowników w zakresie smishingu i quishingu,
  • uwzględniać urządzenia mobilne w politykach bezpieczeństwa,
  • monitorować domeny podszywające się pod instytucje publiczne,
  • blokować znane domeny phishingowe na poziomie DNS, proxy oraz narzędzi EDR i MDM,
  • zgłaszać incydenty operatorom i adekwatnym zespołom reagowania.

W środowiskach firmowych szczególnie istotne jest rozszerzenie detekcji zagrożeń o scenariusze mobilne. Klasyczne zabezpieczenia poczty elektronicznej nie są wystarczające, jeżeli użytkownik inicjuje kontakt z infrastrukturą atakującego przez skanowanie obrazu telefonem.

Podsumowanie

Przeniesienie kampanii phishingowych z tradycyjnych linków do kodów QR pokazuje, iż oszuści aktywnie dostosowują się do mechanizmów obronnych i zachowań użytkowników. Połączenie quishingu, CAPTCHA i wieloetapowych przekierowań zwiększa skuteczność ataku i utrudnia jego automatyczne wykrywanie.

Dla obrońców oznacza to konieczność szerszego spojrzenia na bezpieczeństwo mobilne, a dla użytkowników przypomnienie podstawowej zasady: każdą prośbę o natychmiastową płatność należy weryfikować wyłącznie przez oficjalne kanały instytucji, nigdy przez treść otrzymanej wiadomości.

Źródła

  1. BleepingComputer — https://www.bleepingcomputer.com/news/security/traffic-violation-scams-switch-to-qr-codes-in-new-phishing-texts/
  2. Governor of New York — Consumer Alert: New York State agencies do not request personal or payment information by text message — https://www.governor.ny.gov/
Idź do oryginalnego materiału
  1. Strona główna
  2. Oszustwa
  3. Oszuści przenoszą kampanie SMS o mandatach do kodów QR

Polecane

Prezydent Serbii Aleksandar Vučić ogłosił, iż jego służby wykryły ładunek wybuch…

Prezydent Serbii Aleksandar Vučić ogłosił, iż jego służby wy...

2 dni temu
Cztery granaty w Polance Wielkiej! Policja przez dobę strzegła, saperzy z Krakowa zabrali

Cztery granaty w Polance Wielkiej! Policja przez dobę strzeg...

1 tydzień temu
Policjanci i psy szkoleni w wykrywaniu narkotyków i materiałów wybuchowych

Policjanci i psy szkoleni w wykrywaniu narkotyków i materiał...

1 tydzień temu
Jak zadbać o bezpieczeństwo rodziny i firmy w dobie współczesnych zagrożeń? Pytania i odpowiedzi ekspertów

Jak zadbać o bezpieczeństwo rodziny i firmy w dobie współcze...

2 tygodni temu
Stopnie alarmowe w województwie łódzkim. Służby w gotowości

Stopnie alarmowe w województwie łódzkim. Służby w gotowości

2 tygodni temu
Fałszywe alarmy bombowe w polskich szkołach. Sprawcy nie mogą spać spokojnie

Fałszywe alarmy bombowe w polskich szkołach. Sprawcy nie mog...

2 tygodni temu
„Szpital 2026”. Wielkie ćwiczenia ratownicze i zarządzania kryzysowego na Podkarpaciu

„Szpital 2026”. Wielkie ćwiczenia ratownicze i zarządzania k...

3 tygodni temu
Sąd wojskowy w Moskwie wydał dziś wyroki w sprawie zamachu terrorystycznego w po…

Sąd wojskowy w Moskwie wydał dziś wyroki w sprawie zamachu t...

3 tygodni temu
Gubin. Ewakuacja mieszkańców, niewybuch znaleziony podczas remontu dachu

Gubin. Ewakuacja mieszkańców, niewybuch znaleziony podczas r...

4 tygodni temu