Dziwne linki przesyłane pocztą mailową i w wiadomościach SMS, imitacje stron bankowych i sklepów internetowych oraz nieistniejące przedmioty wystawione na aukcjach internetowych – to tylko wierzchołek góry lodowej oszustw, na jakie możemy trafić w internecie. W ostatnim czasie w przestrzeni internetowej pojawił się kolejny niebezpieczny proceder. Czym jest QRishing i jak się przed nim chronić? Sprawdźmy!
Spis treści
Do czego służą kody QR?
Kod QR to kwadratowy kod graficzny składający się z niepowtarzalnej kombinacji znaków. Początkowo kody te miały być alternatywą dla kodów kreskowych, jednak szybko zaczęto stosować je do odsyłania do stron internetowych. Taki kod po zeskanowaniu przekieruje nas do miejsca w sieci, które jest przypisane do przedstawionej na nim unikalnej kombinacji kwadratowych znaków graficznych. Choć kody QR zostały opracowane już w 1994 roku przez japońską firmę Denso Wave, to dopiero około 2010 roku stały się naprawdę popularne.
To właśnie na koniec pierwszej dekady XXI wieku przypada boom smartfonowy. Aby zeskanować kod QR, nie potrzebujemy specjalnego skanera – aparat w większości smartfonów automatycznie wczyta linkowanie. Ogromną zaletą kodów QR jest ich szeroka dostępność – wygenerowanie takiego kodu nic nie kosztuje. Odnośnik przypisany do kodu może prowadzić do fanpage na facebooku, profilu na instagramie, aplikacji firmowej, czy niestety również – imitacji strony instytucji publicznej lub bankowej.
QRishing – czyli jak ukraść wrażliwe dane przy pomocy kodu QR
Jak już się pewnie domyślacie, pod terminem QRishing kryje się oszustwo wykorzystujące kody QR – użytkownik po zeskanowaniu kodu zostaje odesłany do witryny, która do złudzenia przypomina stronę płatności online, banku czy nawet policji. Warto podkreślić, że w przeciwieństwie do wielu podobnych wałków – ten akurat nie ogranicza się wyłącznie do sfery internetowej.
Mogli się o tym przekonać krakowscy kierowcy, którzy w ostatnim czasie za wycieraczką swoich samochodów znajdowali „wezwania do zapłaty” z wydrukowanym kodem QR i wysokością „kary”. Wezwanie to miało udawać druk od Straży Miejskiej. Widniała na nim informacja, że jeżeli płatność zostanie uregulowana w ciągu 24 godzin, to kara zostanie obniżona o 50 % – wystarczy jedynie zeskanować kod z mandatu, który odeśle Cię do strony płatności. Wpisanie loginu i hasła bankowego na tej stronie skutkowało przejęciem tych wrażliwych danych przez oszusta. QRishing staje się na tyle powszechny, że zainteresowali się nim „Poszukiwacze Okazji” – grupa prowadząca kanał na YouTube i walcząca z wszelakimi oszustwami internetowymi.
Jak nie paść ofiarą QRishingu?
Jak nie dać się złapać na QRishing? Po pierwsze pamiętaj, że Straż Miejska nie wystawia wezwań do zapłaty a wezwania do stawiennictwa. Dlatego jeżeli za wycieraczką znajdziesz „mandat” z kodem QR i wezwaniem do zapłaty to najprawdopodobniej jest to oszustwo. Po drugie, zawsze weryfikuj maile z linkami – zwróć uwagę na domenę w adresie mailowym (dopisek po @). Jeżeli domena w 100% nie odpowiada nazwie firmy, która podobno się z Tobą kontaktuje, to uznaj to za znak ostrzegawczy. Jakiekolwiek wątpliwości warto zweryfikować na przykład poprzez kontakt z firmą, za której pracownika podaje się nadawca.