Kody QR są popularne na całym świecie, zarówno w przestrzeni publicznej, jak i w internecie. Jest to wygodne rozwiązanie dla każdego z nas. Widząc reklamę ciekawego produktu, który może nas zainteresować czy darmowych materiałów do pobrania – zamiast wpisywać adres strony wystarczy zeskanować aparatem telefonu lub tabletu specjalny kod i po chwili automatycznie zostajemy przeniesieni na konkretną stronę. Łatwo i szybko. Jednak czy to jest bezpieczne?

QUISHING - CO TO JEST ?

Quishing to złączenie słów QR i phishing. Oznacza atak internetowy poprzez użycie kodu QR, mający na celu wyłudzenie poufnych informacji od użytkownika. W skrócie: 

Phishing to jeden z najpopularniejszych typów ataków opartych o wiadomości e-mail lub SMS. Wykorzystuje technikę polegającą na tym, że przestępcy internetowi próbują Cię oszukać i spowodować, abyś podjął działanie zgodnie z ich zamierzeniami. Cyberprzestępcy podszywając się m.in. pod firmy kurierskie, urzędy administracji, operatorów telekomunikacyjnych, czy nawet naszych znajomych, starają się wyłudzić nasze dane do logowania np. do kont bankowych lub używanych przez nas kont społecznościowych, czy systemów biznesowych.

Kod QR to skrót od angielskiego Quick Response, czyli „szybka odpowiedź”. Kod ten składa się  z czarnych modułów (kwadratów), które domyślnie ułożone są na białym tle w formie kwadratu. Informacje kodowane są w pionie i poziomie, co pozwala na przechowywanie znacznie większej ilości danych, niż na klasycznych kodach kreskowych (jednowymiarowych). Kody QR może być błyskawicznie odczytywany przez smartfon i tablet wyposażone w aparat fotograficzny lub odpowiednią aplikację (nawet w przypadku częściowego uszkodzenia lub zabrudzenia, ponieważ posiadają wbudowane mechanizmy korekcji błędów). Po zeskanowaniu kodu QR link przeniesie Cię do treści dostępnych online.

Kody QR z pewnością są niesamowicie wygodne i upraszają komunikację między urządzeniami, przesyłanie danych czy konfiguracje nowych urządzeń. Niestety są również bardzo łatwym i coraz częstszym celem ataków cybernetycznych.

Co może się stać jeśli zeskanujemy „podrobiony” kod?  Zostaniemy przekierowani na fałszywą stronę banku, firmy znanej marki czy też innej instytucji, która została stworzona do próby wykradzenia danych użytkowników. Inną możliwością zagrożenia po zeskanowaniu kodu QR jest automatycznie pobrany zainfekowany plik, mogący wyrządzić bardzo wiele szkód.

NAJPOPULARNIEJSZE ATAKI QUISHINGOWE?

Cyberprzestępcy mogą tworzyć kody QR, które mogą służyć do szybkiego pobierania aplikacji, przekazywania danych czy uzupełniania formularzy czy  znalezienia odpowiedniej lokalizacji. Fałszywe kody QR wcale nie muszą być wysyłane przez pocztę e-mail czy sms. Również dobrze przestępcy mogą je umieszczać na stronach internetowych, ale także w postaci naklejek na przystankach, w klubach, w komunikacji miejskiej, w postaci ulotek czy nawet na ubraniach.

Ostatnio często się słyszy o atakach na parkometry i punkty ładowania aut elektrycznych. Niektóre parkometry i punkty ładowania wykorzystują kody QR jako część procesu płatności. Przestępcy przejmują te kody QR, naklejając ich złośliwą wersję na oryginał. Gdy ktoś chce zapłacić za parking lub prąd, skanuje aplikację, wprowadza dane dotyczące płatności na fałszywej stronie internetowej lub w aplikacji i nieświadomie wysyła je do oszustów.

JAK CHRONIĆ SIĘ PRZEZD QUISHINGIEM?

Jedyną skuteczną metodą jest zachowanie czujności i nieskanowanie żadnych kodów QR jeśli nie mamy pewności, że są one bezpieczne.

Uważaj na kody QR wyświetlane w miejscach publicznych, zwłaszcza jeśli są nałożone na oryginalny materiał. Zweryfikuj źródło, wyświetl podgląd adresu URL i sprawdź witrynę przed wejściem do domeny, do której prowadzi skan kodu QR. 

Zachowaj szczególną czujność jeśli skanując kod QR jesteś proszony o pobranie pliku, aplikacji lub aktualizację;

Jeżeli nie musisz - nie wykonywuj płatności z wykorzystaniem kodów QR, a robiąc przelewy za granicą zachowuj szczególną czujność.

Uważaj podając na wyświetlanych stronach swoje dane osobowe i/lub logowania.

Sprawdź również informacje na gov.pl