W Polsce rośnie liczba ataków phishingowych z wykorzystaniem kodów QR – wynika z najnowszego raportu serwisu ChronPESEL. Eksperci firmy Check Point Software alarmują – popularność tzw. quishingu w latach 2021–2024 wzrosła aż o 900 proc. Oszuści podszywają się pod firmy kurierskie, instytucje państwowe czy systemy płatności, by wyłudzać dane osobowe i numery kart kredytowych.
Zagrożenie jest o tyle niebezpieczne, iż może nas dopaść zarówno w biurze jak i na ulicy czy w domu…. Z badań firmy Check Point wynika, iż ponad 10 proc. wiadomości phishingowych e-mail zawiera kod QR. Dla cyberprzestępców zaletą kodów QR jest to, iż potrafią one ominąć tradycyjne systemy zabezpieczeń.
QR kody dają przestępcom mnóstwo możliwości i duże pole do manewrów. Jest to spowodowane tym, iż mają zastosowanie w wielu miejscach. Bez problemu, za ich pomocą, można dotrzeć do wielu osób. Żeby uniknąć niebezpieczeństwa, przede wszystkim trzeba być świadomym zagrożenia. Mówimy tu o zagrożeniu, jakie niesie ze sobą korzystanie z QR kodów. Gdybyśmy zdawali sobie sprawę z tego, iż dany QR kod może być fałszywy, moglibyśmy po prostu uniknąć oszustwa. Pamiętajmy o zachowaniu czujności i ostrożności – ostrzega st. asp. Monika Przestrzelska Zespół Prasowy CBZC, na portalu Gazeta Policyjna.
Eksperci ChronPESEL podkreślają, iż cyberprzestępcy nie ograniczają się już tylko do linków w wiadomościach – w tej chwili do kradzieży danych osobowych coraz częściej wykorzystują kody QR. W wiadomościach e-mail, SMS-ach, załącznikach PDF, a choćby na parkomatach czy tabliczkach przy szlakach turystycznych pojawiają się podrobione piktogramy. „Oznacza to, iż nie da się ich automatycznie odczytać i przeanalizować, tak jak tradycyjnych odnośników do stron internetowych. W związku z tym zagrożenie kradzieży danych osobowych jest bardzo poważne” – ostrzegają autorzy raportu.
„Quishing to jedno z najszybciej rosnących zagrożeń ostatnich lat. Kody QR, z założenia wygodne i szybkie, stały się narzędziem wyłudzania danych, które łatwo omija tradycyjne filtry bezpieczeństwa. Dlatego najważniejsze jest edukowanie użytkowników i stosowanie zaawansowanych systemów ochrony poczty, które potrafią analizować nie tylko linki, ale i grafiki” – mówi Wojciech Głażewski, dyrektor firmy Check Point Software Technologies w Polsce.
Według badania, z próbą wyłudzenia danych poprzez e-mail miało do czynienia 47 proc. badanych, a przez SMS – 40 proc. Mechanizm ataku jest prosty: zamiast wysyłać link, przestępcy wstawiają kod QR prowadzący do fałszywej strony logowania lub formularza płatności. „Wystarczy krótka wiadomość z informacją o sprzedaży przedmiotu i prośbą o potwierdzenie odbioru środków, by niczego niepodejrzewający użytkownik zeskanował kod. W rzeczywistości trafia on na stronę phishingową” – ostrzegają autorzy badania.
„Kod QR może być początkiem bardzo poważnych kłopotów” – podkreśla Bartłomiej Drozd z serwisu ChronPESEL. – „Po jego zeskanowaniu oszuści mogą przejąć dane logowania np. do bankowości internetowej. W efekcie możemy nie tylko stracić wszystkie pieniądze z konta, ale też narazić się na kradzież danych osobowych, w tym PESEL-u, wraz z próbami zaciągnięcia kredytu lub pożyczki na nasze nazwisko”.
Eksperci wskazują, iż kody QR wykorzystywane są również w przestrzeni publicznej. We Wrocławiu zgłoszono przypadki fałszywych kodów na parkomatach, które wyglądały jak oficjalna metoda płatności, a w rzeczywistości wyłudzały dane karty kredytowej. „Znane są przypadki, gdzie kierowcy znajdowali za wycieraczkami samochodów kartki łudząco przypominające mandaty, opatrzone logotypami policji lub Krajowej Administracji Skarbowej. Zawierały one kod QR, który po zeskanowaniu kierował na fałszywą stronę płatności” – zauważają autorzy badania.
Specjaliści przypominają, by nie skanować przypadkowych piktogramów umieszczonych w miejscach publicznych, na plakatach, ulotkach czy w mailach od niezweryfikowanych nadawców. Pod żadnym pozorem nie należy podawać danych logowania, numeru PESEL czy numeru karty płatniczej po zeskanowaniu kodu QR z nieznanego źródła. ChronPESEL radzi, by przed zeskanowaniem sprawdzić zawartość kodu na darmowych serwisach online, które pozwalają wyświetlić pełny adres URL zakodowany w grafice, a także korzystać z wyspecjalizowanych aplikacji do skanowania, zamiast standardowych skanerów w aparacie telefona.
Badanie zostało przeprowadzone w pierwszej połowie tego roku metodą CAWI wśród 1500 dorosłych Polaków przez IMAS International.
