Quishing. Skanują kody QR, a potem tracą pieniądze
Nowe technologie, jak skanowanie kodów QR, mogą ułatwiać życie, ale są też potencjalnie niebezpieczne. Okazuje się, że oszuści zaczęli wyłudzać dane i pieniądze poprzez tak zwany “quishing”, czyli oszustwo polegające na przekierowaniu użytkownika na przykład do fałszywej strony banku. Pierwsze przypadki zarejestrowano już między innymi w Niemczech, a dotyczą one quishingu na stacjach ładowania aut elektrycznych.
Przed quishingiem ostrzegają między innymi na rządowych stronach, gdzie napisane jest, że “Quishing to oszustwo, w którym cyberprzestępca tworzy spreparowany kod QR (rzekomo prowadzący np. do e-płatności lub odbioru nagrody), którego zeskanowanie przekierowuje ofiarę do fałszywej witryny (np. banku) lub pozwala na pobranie złośliwego oprogramowania." Faktycznie, upowszechnienie się kodów QR, które spotykamy między innymi w restauracjach czy miejscach rozrywki, a także właśnie na stacjach ładowania otwiera oszustom nowy sposób wyłudzenia danych lub/i pieniędzy.
W przypadku niektórych stacji ładowania, aby zapłacić za pobraną energię elektryczną, należy np. zeskanować kod QR, który w teorii ma przekierować nas na stronę operatora stacji, a stamtąd na przykład do naszego banku lub formularza, w którym podajemy nasze dane bankowe. W zależności od operatora kod QR może być po prostu naklejony na ładowarkę lub wyświetlany w formie elektronicznej na ekranie.
W tym pierwszym przypadku oszuści po prostu naklejają fałszywy kod QR na oryginalny. Po zeskanowaniu użytkownik trafia na stronę internetową, która do złudzenia może przypominać stronę banku czy operatora, jednak w rzeczywistości służy do wyłudzenia numeru karty. Po wprowadzeniu szczegółów płatności ładowanie jest niemożliwe. Ofiary próbują ponownie, tym razem trafiając na właściwą stronę, wierząc, że był to jednorazowy błąd. W Belgii ofiary zauważyły debet dopiero po otrzymaniu miesięcznego wyciągu z karty kredytowej.
Zna przypadki quishingu z Belgii, Holandii, Francji, Hiszpanii, Włoch i Niemiec. Jeden z operatorów ładowarek w Niemczech, firma Ubitricity wyjaśnia, że znalazła fałszywe naklejki QR na "mniej niż 30 ładowarkach" w samym tylko Berlinie. Według Willemsa takowanie stacji ładowania (wywodzące się z phishingu) "zdecydowanie stanowi problem w UE, jeśli nie na całym świecie". Ekspert uważa, że lepiej byłoby, gdyby kody QR pojawiały się na ekranach, a nie w postaci naklejek.
U dyrektora Ferrari zadzwonił telefon. Głos był znajomy, ale nieco dziwny
Co ciekawe, oszuści mogą przy stacjach ładowania wręcz zakłócać działanie telefonów czy internetu, aby wymusić na użytkownikach skorzystanie z kodu QR, a nie na przykład aplikacji do rozliczenia kosztów prądu.
W przypadku naklejek z kodami QR warto zastosować prosty, manualny sposób, czyli dokładnie obejrzeć naklejkę i nawet paznokciem sprawdzić, czy pod nią nie ma kolejnej, już z prawdziwym kodem. Po wejściu na strony, które wymagają od nas podania wrażliwych danych warto przyjrzeć się dobrze adresowi i upewnić się, że faktycznie jesteśmy na oficjalnej witrynie operatora. Eksperci ds. Bezpieczeństwa doradzają firmom korzystających z kodów QR, aby używały dynamicznych kodów elektronicznych, które zmieniają się wraz z każdym nowym użytkownikiem.