Nawet 70% dorosłych Polaków skanowało kod QR, a 64% z nich robi to regularnie. Są one coraz popularniejsze, używa się ich m.in. do płatności online. Ten fakt wykorzystują również cyberprzestępcy, którzy za pomocą takich fałszywych piktogramów wyłudzają dane osobowe, uzyskują dostęp do kart płatniczych czy bankowości internetowej albo infekują telefon złośliwym oprogramowaniem. Tego rodzaju oszustwa to quishing.
Kody QR umożliwiają zapisanie dużej ilości danych na małej powierzchni, a ich zeskanowanie pozwala przejść bezpośrednio na stronę internetową czy do aplikacji, co znacznie oszczędza nasz czas. Za ich pomocą właściciele smartfonów mogą m.in. realizować płatności online, skasować bilet komunikacji miejskiej czy przeglądać menu restauracji
Polacy najczęściej skanują kody QR w sklepach i drogeriach (38%), na stronach internetowych (37%) i w środkach transportu (26%) – tak wynika z badania HX Study, zleconego przez agencję Starcom, we współpracy z ekspertami NextTechNow oraz firmami AMS i Hashting. Dla co drugiego Polaka najistotniejszym powodem wykorzystywania kodów QR jest szybkość dostępu do informacji (51%). Następnie główną przyczyną jest możliwość uzyskania zniżek lub rabatów (45%), dostęp do dodatkowych informacji (31%), a także brak konieczności dotykania ekranu lub ulotki (27%).
Popularność QR kodów nie uszła uwadze cyberprzestępców, którzy zaczęli tworzyć podrobione piktogramy przekierowujące nieświadome zagrożenia osoby do fałszywych stron internetowych. Skanowanie kodów QR w sklepie czy restauracji jest raczej bezpieczne, ale w miejscach publicznych musimy zachować szczególną ostrożność, ponieważ nie mamy pewności, że cyberprzestępcy ich nie podmienią. Oszuści mogą np. umieścić fałszywe naklejki na plakatach na przystanku. W ten sposób można zamaskować niebezpieczne linki, a następnie przy dokonywaniu przez nas płatności przekierować np. na łudząco przypominającą prawdziwą stronę banku.
Cyberprzestępcy za pomocą quishingu mogą również zaatakować kierowców płacących za parkowanie. W ubiegłym roku na niektórych parkomatach w Krakowie umieszczono fałszywe kody QR, które umożliwiły oszustom przechwycenie danych z kart płatniczych. Wykorzystana do wyłudzenia strona internetowa bardzo przypominała witrynę Zarządu Dróg Miasta Krakowa. W efekcie część kierowców straciła pieniądze.
Wyłudzenie danych do kart płatniczych podczas wnoszenia opłat za parkowanie to nie jedyny pomysł cyberprzestępców. W ubiegłym roku mieszkańcy Warszawy znajdowali za wycieraczkami swoich samochodów mandaty z kodami QR. Po zeskanowaniu kierowca był przekierowywany na fałszywą stronę, na której mógł pozostawić własne dane. W ten sposób oszuści mogą nie tylko uzyskać dostęp do loginów płatniczych, lecz także imienia, nazwiska, numeru PESEL lub dowodu osobistego, które można wykorzystać np. do zaciągnięcia kredytu. Kolejnym zagrożeniem może być zainfekowanie smartfona złośliwym oprogramowaniem. Wówczas przestępcy zyskują dostęp do wielu zgromadzonych na nich danych.
Mimo że w Polsce nie prowadzi się osobnych statystyk dla przestępstw z wykorzystaniem quishingu, problem jest bez wątpienia bardzo poważny, skoro przed tym zagrożeniem ostrzega Ministerstwo Cyfryzacji, Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego Komisji Nadzoru Finansowego (CSIRT KNF) czy Zespół Szybkiego Reagowania na Incydenty Komputerowe (CERT).
Ponadto najczęściej dowiadujemy się o oszustwie z opóźnieniem. Wyjątkiem jest oczywiście sytuacja, gdy z konta bankowego znikają pieniądze. Ale gdy przestępcy przejmą nasze dane osobowe pozostawione na fałszywym formularzu albo zainfekują złośliwym oprogramowaniem smartfona, to często ich ofiary mogą nie skojarzyć negatywnych skutków takich działań z zeskanowaniem fałszywego piktogramu, np. na parkingu w czasie ferii zimowych.
“Należy pamiętać, że kody QR to również linki i zeskanowanie znaku graficznego może być tak samo niebezpieczne jak otwarcie odnośnika otrzymanego mailem czy SMS-em. Każdy może nakleić fałszywy piktogram na parkomat, plakat na przystanku czy sklepową lub restauracyjną witrynę. Warto więc wyłączyć w smartfonie opcję automatycznego skanowania kodów QR bądź samodzielnie wpisać adres strony w przeglądarkę i upewnić się, że cyberprzestępcy nie podmienili podobnie wyglądających liter. Należy również bardzo ostrożnie podawać dane osobowe lub loginy do bankowości internetowej, szczególnie podczas dokonywania płatności. Czerwona lampka powinna się nam także zapalić, jeśli po zeskanowaniu znaku jesteśmy proszeni o pobranie pliku, aplikacji lub aktualizacji” – twierdzi Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.
