Oszustwo, o którym się nie mówi - trudno je wykryć i jest groźne

Oszustwo, o którym się nie mówi - trudno je wykryć i jest groźne18.08.2023 09:42

Podstawione kody QR to bardzo sprytny sposób oszustwa

Źródło zdjęć: © Adobe Stock

Oszustwo na kody QR jest znane od lat, ale ostatnio mocno zyskuje na popularności. Firma Cofense ostrzega o dużej kampanii phishingowej, której celem były amerykańskie przedsiębiorstwa. Problem w tym, że pracownicy firm nie zawsze wiedzą, jak unikać podobnych oszustw i ryzykują poważnymi konsekwencjami.

Oszustwo na kody QR to właściwie rodzaj phishingu, ale w sprytniejszej, trudniej wykrywalnej formie. Z tego też powodu przygotowano nawet specjalne określenie takich oszustw – QRishing.

W ostatnich miesiącach widać nasilenie tego typu ataków. Firma Cofense informuje nawet o dużej kampanii phishingowej wykorzystującej kody QR, której celem padły amerykańskie przedsiębiorstwa.

Dalsza część artykułu pod materiałem wideo

Motorola Razr 40 Ultra, czyli pierwszy składany smartfon, który mógłbym mieć

Oszustwo na kod QR – trudno je wykryć

Zasada działania oszustwa na kod QR nie jest specjalnie skomplikowana, ale może być podchwytliwa dla mniej doświadczonych osób. Szczególnie, że bardzo często nie mówi się o nim przy omawianiu podstawowych zasad bezpieczeństwa.

Przykład fałszywej wiadomości, która zachęcała do kliknięcia w kod QR, Źródło zdjęć: © Cofense

Przykład fałszywej wiadomości, która zachęcała do kliknięcia w kod QR

Źródło zdjęć: © Cofense

W przypadku omawianej kampanii przestępcy wysyłali sfałszowane wiadomości e-mail, które zachęcały do zeskanowania kodu QR. W teorii miało chodzić o procedury bezpieczeństwa i włączenie weryfikacji 2FA. Taka argumentacja mogła poprawić wiarygodność informacji.

Problem w tym, że link z kodu QR był sprytnie ukryty - oszuści zastosowali link z przekierowaniem przez domenę Bing.com, ciąg znaków istotny dla działań marketingowych i dopiero na końcu umieścili adres e-mail i link do strony docelowej (i to zakodowany w Base64).

Duży bank ostrzega klientów. Jeden błąd i tracisz majątek

Spore nasilenie oszustw na kod QR

Firmę Cofense ostrzega, że w ostatnim czasie widać nasilenie kampanii z oszustwami na kody QR. Co prawda dokładne zmierzenie skuteczności kampanii właściwie jest niemożliwe, ale w ostatnich miesiącach takich e-maili przybywa - w maju zanotowano wzrost o 270 proc. w ujęciu miesiąc do miesiąca, w czerwcu było to aż 500 proc, a w lipcu 155 proc. Ciągle mówimy o wzroście zgłoszeń.

Pracownicy bardzo często nie mają świadomości kampanii phishingowych wykorzystujących kod QR (znacznie częściej ostrzega się przed klikaniem w zwykłe linki, ale pomija się "otwieranie" linków zakodowanych w kodach QR). Dodatkowe przekierowanie może zmylić czujność użytkowników i uwiarygodnić wiadomość oszustów. Kliknięcie w złośliwy link może narazić firmę na niebezpieczeństwo, ułatwić kradzież poufnych informacji czy po prostu wyczyścić nam konto z oszczędności.

Jak zabezpieczyć się przed oszustwami na kod QR

Przede wszystkim powinniśmy zachować ostrożność. Zasady bezpieczeństwa bardzo często ostrzegają przed klikaniem w linki, ale zwykle już nie poruszają kwestii skanowania linków zakodowanych w kodach QR (a zasada działania jest tutaj bardzo podobna).

Kampanie wykorzystujące kody QR mogą pojawić się w najróżniejszych sytuacjach. Niedawno pisaliśmy o oszustwie na parkomaty, gdzie umieszczono fałszywe kody QR z podstawionymi linkami do płatności. Łatwość użycia kodów QR upraszcza wiele spraw, ale może ograniczać naszą czujność.

Płacisz za parking w Krakowie? Uważaj, to prowokacja oszustów

Paweł Maziarz, dziennikarz dobreprogramy.pl

bezpieczeństwo internet

Wybrane dla Ciebie

Oszustwo na prezesa polskiego urzędu. Przestępcy stosują dwie metody

Paweł Maziarz

Nowe oszustwo. Udają organy ścigania i wyłudzają pieniądze

Mateusz Tomczak