Dla przypomnienia: kody QR (nazwa od angielskiego "Quick Response" - czyli "szybka odpowiedź") to obrazki w formie kwadratów, w których znajdują się czarno-białe wzory. Można je zeskanować na przykład za pomocą aparatu w smartfonie lub tablecie.

Obrazki dzięki odpowiedniemu układowi wzorów mają w sobie zakodowany adres internetowy, na który przechodzimy po zeskanowaniu kodu. Można je porównać do bardziej zaawansowanych kodów kreskowych, choć w porównaniu do nich pozwalają na zapisanie większej ilości danych.

Kody QR pozwalają na szybkie przejście do strony internetowej lub aplikacji bez konieczności wpisywania adresu internetowego lub korzystania z wyszukiwarki. Możemy je spotkać w wielu miejscach publicznych, np. w kawiarniach i biurach. Od wielu lat są stosowane w biletach PKP, można je również coraz częściej spotkać w różnych urzędach i instytucjach.

Mechanizm działania

Popularność kodów QR postanowili wykorzystać cyberprzestępcy. Tego typu oszustwa są nazywane "quishingiem", co stanowi kolejną po "smishingu" wariację na temat "phishingu". Na łamach naszego cyklu pisaliśmy już o tych zjawiskach, tu o smishingu (poznan.pl), a  tu o phishingu (poznan.pl). W skrócie: ich cechą wspólną jest oszustwo, które jest możliwe dzięki uśpieniu naszej czujności.

Quishing polega na podstawieniu kodu QR, który prowadzi do spreparowanej strony internetowej lub aplikacji. Trafiając na nią, możemy liczyć na dwa możliwe scenariusze: albo nasze dane zostaną skradzione, albo oszuści zyskają dostęp do naszego smartfonu. Ostatecznie co by się nie stało, efektem jest zysk oszusta i nasza strata.

Cyberprzestępcy stosujący tą metodę nie ograniczają się jedynie do przygotowania fałszywej strony internetowej lub aplikacji. Ważnym elementem składowym tego i innych rodzajów oszustw jest wykorzystanie tak zwanej inżynierii społecznej. Polega ona na dostrzeżeniu schematów tego, jak przebiegają różne interakcje i działania w społeczeństwie, a następnie wykorzystanie ich na korzyść sprawcy.

Innymi słowy, oszust stosujący fałszywy kod QR postara się uśpić naszą czujność - po pierwsze, żebyśmy zeskanowali kod, a po drugie, by nie wzbudzając podejrzeń zmusić nas do działania.

Przykład quishingu pojawił się niedawno w artykule w serwisie Bleeping Computer. Opisano tam historię mieszkanki Singapuru, która zeskanowała kod QR na drzwiach restauracji. Według informacji na kartce, kod miał przekierować do ankiety, po której wypełnieniu klient restauracji mógł liczyć na darmowy napój.

Okazało się jednak, że adres internetowy kierował do podstawionej aplikacji, dzięki której oszuści zyskali pełen dostęp do smartfonu kobiety. Wykorzystali to, aby w nocy bez wzbudzania podejrzeń wyprowadzić z jej konta bankowego około 20 000 $. Pełen artykuł można przeczytać tutaj: QR codes used in fake... (bleepingcomputer.com).

Jak się bronić?

Oszustwa z wykorzystaniem kodów QR nie należą do najczęstszych form cyberataków w Polsce. Musimy jednak liczyć się z tym, że wraz ze wzrostem ich popularności na świecie, w końcu i my zostaniemy postawieni przed nowym zagrożeniem. Właśnie dlatego powinniśmy wiedzieć, w jaki sposób zmniejszyć szansę na stanie się ofiarą tego typu oszustwa.

Na początek uważajmy na kod QR, który skanujemy. Czy znajduje się w miejscu publicznym, czy może np. na bilecie kolejowym? Zwróćmy uwagę, czy jesteśmy w stanie określić, kto umieścił kod w tym miejscu. Jeżeli, jak w przypadku biletu, kod został wygenerowany na naszych oczach przez pracownika instytucji, raczej nie powinniśmy mieć powodu do niepokoju.

Inną sytuacją może być kod, który jest dostępny dla każdego, na przykład w kawiarni. Jeżeli mamy wątpliwości co do jego bezpieczeństwa, możemy zweryfikować jego prawdziwość u obsługi tego miejsca. Zazwyczaj wystarczy zapytać pracownika czy wie, że dany kod faktycznie powinien się tam znajdować.

Jeżeli zeskanowaliśmy kod, zwróćmy uwagę na efekty, jakie przyniosło to na naszym urządzeniu. Na początek sprawdźmy, czy strona internetowa na którą trafiliśmy zgadza się z informacją, z powodu której zeskanowaliśmy kod. Dla przykładu: jeżeli mieliśmy wypełnić ankietę, a otwiera się sklep z aplikacjami, prawdopodobnie coś jest nie w porządku.

Bardziej alarmujące powinny być dodatkowe komunikaty, które pojawią się na naszym urządzeniu. Mogą to być żądania dostępu do uprawnień naszego urządzenia, lub co gorsza - potwierdzenie chęci instalacji aplikacji. Jeżeli nie jesteśmy absolutnie pewni bezpieczeństwa danego kodu QR, nigdy nie powinniśmy akceptować takich żądań.

Jeżeli jednak znaleźliśmy się na stronie internetowej, nie zaszkodzi sprawdzić, czego ona od nas oczekuje. Warto pamiętać, aby w takim przypadku nigdy nie podawać danych, które pozwolą komuś uzyskać dostęp na przykład do naszego konta bankowego bądź skrzynki e-mail.

Zauważmy jednak, że czasem na stronie pojawi się prośba o podanie danych kontaktowych, np. numeru telefonu. O ile samo w sobie nie jest to niebezpieczne, może być to próba pozyskania naszych danych do phishingu lub smishingu. Zwróćmy uwagę, czy strona na której podajemy nasze dane nie sprawia wrażenie oszustwa. Mając jakiekolwiek wątpliwości, po prostu tego nie róbmy.

Jeżeli mimo ostrożności staniemy się ofiarą oszustwa, nie wahajmy się zgłosić na Policję. Natomiast widząc próbę oszustwa, warto ją zgłosić - być może uchronimy innych przed zagrożeniem. Takie zgłoszenie jest proste i może zostać dokonane online. Poradnik na ten temat można przeczytać w artykule: Jak zgłosić zagrożenie? (poznan.pl).  

Podsumowanie

Kody QR to czarno-białe kwadraty, w których można zakodować różne informacje, na przykład adres strony internetowej. Oszustwa dokonywane za ich pomocą nazywamy quishingiem. Polegają na przekonaniu nas do zeskanowania fałszywego kodu QR i wykonania dalszych działań. Dzięki temu, oszuści mogą uzyskać dostęp do naszego urządzenia, konta bankowego lub danych osobowych.

Istnieje kilka sposobów ochrony przed quishingiem. Warto zweryfikować czy kod, który chcemy zeskanować, został umieszczony w tym miejscu przez wiarygodną osobę. Powstrzymajmy się od dalszych działań, jeżeli po zeskanowaniu kodu trafimy na budzącą podejrzenia stronę internetową. Nie akceptujmy również próśb o udzielenie jakiegokolwiek dostępu, uprawnień lub zezwoleń na instalację programu.

Cykl porad o bezpieczeństwie w Internecie powstał z inicjatywy Biura Cyfryzacji i Cyberbezpieczeństwa Urzędu Miasta Poznania. Zachęcamy do obserwowania Infoteki (poznan.pl/smartcity/infoteka), żeby nie przegapić kolejnych porad i wielu innych, ciekawych informacji z Poznania.

KS