Ładujesz samochód? Ten kod QR może cię zrujnować
Eksperci do spraw cyberbezpieczeństwa ostrzegają przed nową metodą oszustwa wymierzoną we właścicieli samochodów elektrycznych i hybryd typu plug-in. Przestępcy umieszczają fałszywe kody QR na stacjach ładowania, a ich zeskanowanie zamiast do uruchomienia ładowarki, prowadzi do szybkiej utraty pieniędzy. Pierwsze takie przypadki zarejestrowano już między innymi w Niemczech.
Choć rozpowszechnienie kodów QR znacznie uprościło wiele codziennych czynności, należy pamiętać o potencjalnych zagrożeniach związanych z ich używaniem. Jednym z nich jest nowa metoda oszustwa, znana jako "quishing," w której przestępcy stosują kody QR, by wyłudzić dane i pieniądze.
Uwaga na fałszywe kody QR na ładowarkach
Na niektórych stacjach ładowania, aby zapłacić za pobraną energię elektryczną, trzeba zeskanować kod QR, który teoretycznie przekierowuje nas na stronę internetową operatora stacji. Stamtąd możemy zostać przekierowani np. do systemu bankowego lub formularza, gdzie należy wprowadzić dane do płatności. To z kolei wykorzystują oszuści, którzy naklejają złośliwe kody na oryginalne, co powoduje, że po ich zeskanowaniu użytkownicy trafiają na fałszywe witryny.
Po zeskanowaniu złośliwego kodu QR użytkownicy trafiają na stronę phishingową, która jest niemal identyczna z oryginałem. Tam proszeni są o wpisanie danych płatniczych, które zostają następnie przechwycone przez oszustów. W pierwszej fazie transakcja na fałszywej stronie zostaje celowo przerwana, a użytkownik jest przekierowywany na autentyczną stronę, aby nie wzbudzić podejrzeń. W ten sposób ofiara może zakończyć płatność, nieświadoma, że jej dane właśnie zostały wykradzione.
Quishing jako zagrożenie zaczął się rozwijać w czasie pandemii, gdy kody QR stały się powszechniejsze jako bardziej higieniczny sposób dostępu do menu czy formularzy medycznych. Oszuści szybko wykorzystali tę sytuację, podmieniając prawdziwe kody QR na fałszywe. Po ich zeskanowaniu ofiary trafiają na strony phishingowe, gdzie przestępcy mogą przechwytywać ich dane logowania lub próbować instalować złośliwe oprogramowanie.
Przestępcy działają już w Europie. Także w Polsce
Pierwsze przypadki quishingu z wykorzystaniem publicznych stacji ładowania zarejestrowano między innymi w Niemczech. Jeden z operatorów ładowarek w Niemczech, firma Ubitricity wyjaśnia, że znalazła fałszywe naklejki QR na kilkudziesięciu ładowarkach w samym Berlinie. Co ciekawe, podobne oszustwa były już stosowane także w naszym kraju. Głośnym echem odbiła się sytuacja z lipca 2023 roku, kiedy to oszuści wykorzystywali fałszywe kody QR na parkomatach w Krakowie. Naklejki kierowały nieświadomych kierowców na stronę internetową, na której musieli podać dane karty płatniczej. Następnie dane te były wykorzystywane do nielegalnych płatności.
Przed skorzystaniem z kodu QR zweryfikuj jego legalność
Eksperci zachęcają, by przed skorzystaniem z naklejek zawierających kody QR zastosować kilka prostych metod weryfikacji. Dobrze jest np. dokładnie obejrzeć naklejkę i sprawdzić, czy nie kryje się pod nią inna, z prawdziwym kodem. Ponadto, gdy odwiedzamy strony, które proszą o podanie wrażliwych informacji, warto uważnie zweryfikować adres URL, aby potwierdzić, że rzeczywiście znajdujemy się na oficjalnej stronie operatora.
