Quishing - oszustwo z wykorzystaniem kodów QR
Cyberoszustwa wykorzystujące kody QR stają się coraz powszechniejsze. Wyjaśniamy czym jest quishing i na co zwrócić uwagę, by nie dać się oszukać.
Kody szybkiej odpowiedzi, znane jako QR (z ang. QR Code czyli Quick Response Code) to kwadratowe obrazy z szeregiem czarno-białych wzorów, które widzimy w internecie, gazetach, broszurach czy na plakatach. Kody QR pozwalają na zapisanie dużej ilości danych na małej powierzchni. Zeskanowanie takiego znaku graficznego pozwala przejść bezpośrednio do strony internetowej czy aplikacji, co oszczędza nasz czas. Zamiast przesyłać linki, szukać informacji w wyszukiwarce lub przepisywać adres witryny, wystarczy skierować obiektyw urządzenia mobilnego na czarno-biały zestaw kwadratów i… gotowe.
Skanowanie kodów QR ułatwia życie, ale może okazać się niebezpieczne
Pandemia COVID-19 przyspieszyła proces upowszechnienia kodów QR. Dzięki nim właściciele smartfonów mogą „bezkontaktowo” pozyskać potrzebne informacje, realizować płatności online, przeglądać menu restauracji, czy skasować bilet komunikacji miejskiej w szybki i bezpieczny dla zdrowia sposób.
Należy pamiętać, że cechą charakterystyczną kodów QR jest to, że nie widać, co się za nimi kryje i na jakie strony faktycznie nas przekierują, co niestety cyberoszuści wykorzystują coraz częściej.
Czym jest quishing?
Quishing to oszustwo, w którym cyberprzestępca tworzy spreparowany kod QR (rzekomo prowadzący np. do e-płatności lub odbioru nagrody), którego zeskanowanie przekierowuje ofiarę do fałszywej witryny (np. banku) lub pozwala na pobranie złośliwego oprogramowania.
Groźne kody QR – uważaj, co klikasz… i co skanujesz
Pamiętaj, że za kodami QR, podobnie jak w przypadku linków czy załączników z wiadomości, może kryć się zagrożenie. Żeby nie wpaść w (cyber)pułapkę podchodź z ostrożnością do kodów QR i nie skanuj ich bez zastanowienia się czy towarzysząca mu informacja jest wiarygodna. Za pomocą kodów QR można w łatwy sposób zamaskować niebezpieczne linki!
Dlatego, korzystaj z kodów QR rozsądnie, skanuj tylko te pochodzące od zaufanych podmiotów, by nie narazić się na kłopoty. Uważnie weryfikuj też autentyczność strony, na którą trafiłeś – szczególnie, jeśli masz zamiar podać na niej swoje dane lub coś z niej pobrać. „Czerwona lampka” powinna zapalić się za każdym razem, gdy po sczytaniu kodu zostaniesz poproszony o podanie danych logowania do określonej usługi.
CERT Polska ostrzega
CERT Polska (CSIRT NASK) zaobserwował nowy scenariusz oszustwa, w którym cyberprzestępcy nadużywają metody uwierzytelniania przez kod QR w aplikacji Wiadomości stworzonej przez Google, która służy m.in. do komunikowania się za pośrednictwem wiadomości SMS. Najbardziej narażoną grupą użytkowników w tym przypadku są dzieci i młodzież.
Cały opis oszustwa wraz z rekomendacjami CERT Polska znajduje się w artykule pod tym linkiem
źródło informacji: GOV.PL