Quishing, czyli nowa metoda złodziei wymierzona w kierowców
Technologia się rozwija, a wraz z nią metody przestępców, którzy wynaleźli nowy sposób na okradanie, tym razem kierowców pojazdów elektrycznych. Quishing to zastępowanie prawdziwych kodów QR fałszywymi, dzięki którym złodzieje “czyszczą” konta nieświadomych użytkowników. O sprawie pierwszy poinformował niemiecki magazyn “Auto Motor und Sport”.
Na niektórych stacjach ładowania, aby zapłacić za pobraną energię elektryczną, trzeba zeskanować kod QR, który teoretycznie przekierowuje nas na stronę internetową operatora stacji. Stamtąd możemy zostać przekierowani np. do systemu bankowego lub formularza, gdzie należy wprowadzić dane do płatności. W zależności od operatora, kod QR może być fizycznie naklejony na ładowarkę lub wyświetlany elektronicznie na ekranie urządzenia. Taki sposób płatności ma na celu ułatwienie procesu, ale wymaga od kierowcy dodatkowej uwagi przy każdej transakcji.
Przestępcy próbują wyłudzić dane konta poprzez wyłudzanie - czyli "phishing" kodów QR. Każdy, kto chce doraźnie zapłacić za transakcję za pomocą telefonu komórkowego, naraża się na ryzyko omyłkowego przekazania oszustom danych swojej karty kredytowej . W tym celu zakrywają naklejki z kodami QR dołączone do wielu stacji ładowania własnym kodem QR, który kieruje użytkowników do imitujących strony internetowe operatora stacji ładowania.
Po wprowadzeniu danych płatności ładowanie nie dochodzi do skutku. Ofiary próbują ponownie, tym razem trafiając na właściwą stronę, sądząc, że wcześniejsze problemy były jednorazowym błędem. W Belgii niektórzy użytkownicy zauważyli nieautoryzowane obciążenia dopiero po otrzymaniu miesięcznego wyciągu z karty kredytowej.
Zna przypadki tzw. quishingu z Belgii, Holandii, Francji, Hiszpanii, Włoch i Niemiec. Firma Ubitricity, operator ładowarek w Niemczech, poinformowała, że odkryła fałszywe naklejki z kodami QR na "mniej niż 30 ładowarkach" w Berlinie. Willems zaznacza, że problem fałszowania stacji ładowania (pochodzący z phishingu) "zdecydowanie stanowi wyzwanie w UE, a być może na całym świecie".
Ekspert sugeruje, że bezpieczniejszym rozwiązaniem byłoby korzystanie z jednorazowych, dynamicznych kodów QR pojawiających się na ekranach urządzeń, a nie w formie naklejek. Co ciekawe, oszuści mogą również zakłócać działanie telefonów lub internetu przy stacjach, zmuszając użytkowników do skanowania fałszywego kodu QR zamiast korzystania z aplikacji do rozliczeń.
Kiedy korzystamy z naklejek zawierających kody QR, warto zastosować prostą metodę, by upewnić się o ich autentyczności. Dobrze jest dokładnie obejrzeć naklejkę i sprawdzić, czy nie kryje się pod nią inna, z prawdziwym kodem. Gdy odwiedzamy strony, które proszą o podanie wrażliwych informacji, warto uważnie zweryfikować adres URL, aby potwierdzić, że rzeczywiście znajdujemy się na oficjalnej stronie operatora. Eksperci ds. bezpieczeństwa zalecają firmom, które korzystają z kodów QR, aby wprowadzały dynamiczne kody elektroniczne, które zmieniają się z każdym nowym użytkownikiem.
