Quishing: fałszywe kody QR służą do wyłudzania danych

Skierowanie telefonu na kod QR na parkometrze i prośba o podanie hasła to fragment metody quishingu. Organizatorzy kampanii i Policja ostrzegają przed skanowaniem kodów z nieznanych źródeł.

Quishing to phishing wykorzystujący złośliwe kody QR. Oszuści umieszczają takie kody w przestrzeni publicznej, w e-mailach, SMS-ach i ogłoszeniach internetowych. Po zeskanowaniu ofiara trafia na stronę podszywającą się pod sklep, portal płatniczy lub bank.

W praktyce kod może prowadzić do formularza wyłudzającego dane logowania lub informacje o karcie płatniczej. Sprzedający mogą otrzymać wiadomość z prośbą o zeskanowanie kodu w celu rzekomego potwierdzenia transakcji. Kupujący natomiast mogą dostać kod do „szybkiej płatności” – po jego zeskanowaniu środki trafiają bezpośrednio do przestępców.

Kampanię informacyjną prowadzą: Związek Banków Polskich, Fundacja Warszawski Instytut Bankowości, Bankowe Centrum Cyberbezpieczeństwa oraz Policja i banki, pod wspólnym szyldem Bankowcy dla CyberEdukacji. W ramach akcji udostępniono też materiał z udziałem Tomasza Oświecińskiego. On sam przestrzega: “Kod QR z nieznajomego źródła jest jak pocałunek kobry” – cytat przypisany Tomaszowi Oświecińskiemu pochodzi z materiałów kampanii.

Organizatorzy i Policja rekomendują konkretne zasady ochrony:

• nie skanować kodów QR z podejrzanych źródeł;
• zawsze sprawdzać adres strony, na którą przekierowuje kod QR;
• nigdy nie udostępniać danych do logowania, PIN-ów ani numeru PESEL;
• w przypadku wątpliwości przerwać transakcję i skontaktować się z infolinią banku.

Informacje o mechanizmach działania quishingu i zalecenia służą podniesieniu świadomości użytkowników Internetu i ograniczeniu skuteczności oszustów. Policja oraz instytucje finansowe apelują o ostrożność przy każdej transakcji z użyciem kodów QR.

na podstawie: KPP Świdnica.