Oszustwa na kody QR coraz częstsze? Uwaga na te schematy

Kody QR (z ang. QR Code czyli Quick Response Code) pozwalają na zapisanie danych na małej powierzchni. W praktyce to "czarno-biały kwadrat" z określonym „wzorem”, którego zeskanowanie powoduje uruchomienie na przykład strony internetowej czy aplikacji zawierającej informacje, których w określonej sytuacji potrzebujemy. Często stosowane są na przykład na plakatach, w gazetach, w restauracji, na konferencjach czy w określonych usługach. Tym samym oszczędzamy czas, ale jednocześnie możemy narazić się na niebezpieczeństwo.

Ministerstwo Cyfryzacji już w lutym br. ostrzegało, że quishing – cyberoszustwo, wykorzystujące kody QR staje się coraz powszechniejsze. „Należy pamiętać, że cechą charakterystyczną kodów QR jest to, że nie widać, co się za nimi kryje i na jakie strony faktycznie nas przekierują, co niestety cyberoszuści wykorzystują coraz częściej” – napisano.

Na czym opiera się ten schemat oszustwa? Oszust tworzy spreparowany kod QR, który ma kierować rzekomo do strony internetowej, której szukamy, a jej zeskanowanie może przekierować ofiarę do fałszywej witryny lub może skutkować pobraniem złośliwego oprogramowania.

Fałszywe QR kody do „przesyłek”

W poniedziałek 8 maja w ramach pokoju na Twitterze (Twitter Spaces) naszej redakcji dyskutowaliśmy o oszustwach w sieci z ekspertami ze Stowarzyszenia Demagog oraz CSIRT KNF ( nagranie można odsłuchać tutaj ). Głos mogli zabrać także wszyscy zainteresowani tematem, którzy przysłuchiwali się rozmowie.

Analityk i komentator gospodarczy Janusz Pietruszyński wskazał na zagrożenie hakowaniem kodów QR w listach przewozowych przesyłek komercyjnych. „Jeżeli sprzedawca lub kupujący jest przestępcą, to używając kodu QR na liście przewozowym zautoryzujemy transakcję na paczkomacie, ale środki, zamiast pójść do miejsca wskazanego w transakcji (na nasze konto – red.), trafią na konto przestępcy” – objaśniał.

Wskazał m.in. na zagrożenie tym oszustwem na platformie Vinted czy w ramach świadczenia usług przez komercyjnych dostawców paczek (typu InPost, DPD itd.).

„Inpost czy Vinted formalnie widzą, że transakcja się odbyła, ale nie wiedzą gdzie faktycznie pieniądze zostały przesłane (z powodu zhakowania QR kodu do nadania przesyłki – red.). Na Vinted widzimy komunikat, że paczka została odebrana i została opłacona. Ale pieniędzy nie zobaczycie, ponieważ na liście przewozowym, który zaoferował sprzedający/kupujący jest zhakowany kod QR i on de facto przesłał pieniądze sam sobie” – stwierdził Janusz Pietruszyński.

CERT Polska: Zgłoszenia nie są częste

Zapytaliśmy wobec tego CERT Polska, który zajmuje się monitorowaniem polskiej cyberprzestrzeni oraz reagowaniem na incydenty o zgłoszenia do ich zespołu oszustw „na Vinted”.

„Kody QR jako wektor ataku cyberprzestępców nie jest często spotykanym typem zgłoszeń. W ostatnich miesiącach zespół CERT Polska odnotował jednak dwa sposoby wykorzystania kodów QR. Pierwszym jest przejęcie konta na serwerach Discord, a następnie wyłudzenie pieniędzy na usługi premium, z wykorzystaniem parowania urządzeń kodem QR . Drugim sposobem jest wykorzystanie kodu QR do przekierowania na fałszywą stronę banku z komputera ofiary, na smartfon” – usłyszeliśmy.

Jak poinformował serwis CyberDefence24.pl zespół CERT Polska, schemat działania w drugim przypadku przedstawia się w następujący sposób: „Użytkownik dostaje kod QR, który musi zeskanować, następnie jego smartfon wykonuje instrukcję zawartą w hiperlinku kodu QR, przenosi ofiarę na stronę zawierającą próbę wyłudzenia danych, bądź podejmuje próbę parowania urządzenia ofiary z urządzeniem atakującego” – usłyszeliśmy.

Trzeba pamiętać, że fakt iż oszustwa na QR kody nie są często spotykane, nie oznacza, że nie występują w ogóle. Z roku na rok coraz więcej użytkowników wie już, że wszelkie próby wyłudzeń danych/pieniędzy/inne należy zgłaszać do CERT Polska, ale wciąż wiele osób tego nie robi, szukając pomocy „na własną rękę” lub po prostu – w przypadku niewielkich kwot – „odpuszczając” i nikomu tego nie zgłaszając. To błąd, bo utrata małej kwoty za jednorazową przesyłkę może być tylko kroplą w morzu – zwykle takie kampanie przebiegają na o wiele większą skalę.

„Jeśli chodzi o częstotliwość ataków, to zespół CERT Polska obserwuje głównie zgłoszenia dotyczące pierwszego opisanego schematu, z użyciem konta na Discordzie, zdecydowanie rzadziej natomiast przekierowania z komputera na smartfon, podczas próby wyłudzenia danych logowania do banków przez stronę phishingową (np. banku ING)” – dodają eksperci CSIRT NASK.

Coraz więcej oszustw w sieci

Jedną z głównych motywacji cyberprzestępców mają być względy finansowe i możliwość zarobienia łatwych pieniędzy.

W czasie dyskusji w naszym pokoju na Twitterze jeden z zaproszonych ekspertów - Paweł Piekutowski, kierownik Departamentu Cyberbezpieczeństwa w KNF został przez nas zapytany o tendencje, jeśli chodzi o występowanie oszustw w sieci.

„Niestety, od kilku ładnych lat ta tendencja jest wzrostowa, jeśli chodzi o straty generowane na skutek tzw. transakcji oszukańczych. W 2021 roku mieliśmy straty na poziomie 360 mln zł, przy czym to nie są straty całościowe, a tylko zaraportowane przez największe banki komercyjne. Natomiast w 2022 roku to są już straty większe o 35 proc. w stosunku do roku poprzedniego i dochodzą do 480 mln zł” – wskazał ekspert w rozmowie z nami.

Jego zdaniem, po części jest to związane z faktem, że jesteśmy coraz bardziej aktywni w internecie, coraz więcej płacimy, kupujemy online. „Z drugiej strony, grupy cyberprzestępcze się sprofesjonalizowały, to już nie są pojedyncze osoby, które >>zajmują się hakowaniem ze swojej piwnicy<< i rozsyłają SMS-y phishingowe do ludzi. To często bardzo dobrze rozwinięte grupy cyberprzestępcze z określoną hierarchią, strukturą, podziałem obowiązków, z możliwością zakupu określonych narzędzi, wiec ich skala jest zdecydowanie większa. Z roku na rok rośnie wydajność ich pracy, co przekłada się na straty finansowe użytkowników” – podsumował.

Jeden ze schematów oszustw na QR kody opisuje także CERT Polska .

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].