Oszustwa z wykorzystaniem kodów QR

Mimo, że w Polsce kody QR nadal są wykorzystywane w stosunkowo niewielkim stopniu, to ich rosnąca popularność pociągnęła za sobą także działania cyberprzestępców. Kody QR czyli Quick Response Code to charakterystyczne kwadratowe, czarno-białe obrazy, składające się z kwadracików i prostokątów. Można je spotkać na ulotkach, plakatach, w komunikacji miejskiej, a także w mailach np. od firm kurierskich. Ich celem jest szybkie przekierowanie użytkownika na konkretną stronę lub aplikację poprzez zeskanowanie kodu aparatem w urządzeniu mobilnym. To wygodne rozwiązanie doczekało się niestety wykorzystania przez hakerów – dlatego w tym artykule opiszemy w jaki sposób cyberprzestępcy infekują kody i jak ustrzec się przed atakiem. 

Quishing i QRishing – nowa wersja starego scamu

Na oszustwa związane z użyciem kodów QR można w sieci znaleźć dwa określenia: quishing oraz QRishing. Mimo, że różnią się pisownią, tak naprawde kryją za sobą tą samą definicję:

Łatwość ataku potęguje jedna z charakterystycznych cech kodów QR – przed ich zeskanowaniem nie widać, co się za nimi kryje – czyli do jakiego linka lub do jakiej aplikacji prowadzą. Na tym etapie nie da się jednoznacznie stwierdzić, czy kod jest prawdziwy, czy przekierowuje na fałszywą stronę np. banku, do e-płatności albo do odbioru rzekomej nagrody. Maskowanie linków jest tutaj dziecinnie proste i przez to bardzo łatwo paść ofiarą takiego procederu. 

Dystrybucja zainfekowanych kodów odbywa się nie tylko za pomocą maili. Obecnie na popularności zyskują ataki prowadzone za pomocą portali społecznościowych i komunikatorów np. Discord. Z kodów QR najczęściej korzystają osoby młode, dlatego hakerzy szukają najłatwiejszego dostępu do tej grupy użytkowników. Warto wiedzieć, jak wygląda taki atak.

Proces prowadzenia indywidualnego ataku z wykorzystaniem kodu QR

Na podstawie zgromadzonych informacji o ofierze, oszuści tworzą fałszywy profil w mediach społecznościowych, który odpowiada zainteresowaniom oraz kręgowi znajomych wytypowanego użytkownika. Gdy profil wygląda wiarygodnie, starają się na różne sposoby nawiązać kontakt z ofiarą. Najpopularniejszymi metodami jest podawanie się za dalekiego znajomego, który znalazł się w potrzebie, albo prośba o przysługę w zamian za otrzymanie płatnych przedmiotów w popularnych wśród młodzieży grach. 

Kolejny etap ataku wykorzystuje często instalowaną domyślnie w smartfonach aplikację do przesyłania SMSów – “Wiadomości” – od Google. Jeśli ofiara jej nie posiada, zostaje poproszona o jej ściągnięcie i zainstalowanie na smartfonie. Aplikacja sama w sobie nie jest szkodliwa, jednak cyberprzestępcy właśnie ją wykorzystują w ramach swojego oszustwa.

Po instalacji aplikacji, oszust przesyła ofierze kod QR, który ta ma zeskanować. Kod QR służy do sparowania urządzenia z aplikacją, co umożliwia oszustom uzyskanie dostępu do urządzenia ofiary bez konieczności podawania jakichkolwiek danych uwierzytelniających. W tym przypadku przed sparowaniem nie chroni nawet ustawione uwierzytelnianie dwuskładnikowe. Co więcej, w trakcie procesu parowania brakuje jakichkolwiek informacji opisujących skutki sparowania lub ostrzegających przed zagrożeniami. 

Cyberprzestępca w ten sposób uzyskuje dostęp do wszystkich ważnych danych, takich jak listy kontaktów, prywatne wiadomości – zarówno te zapisane, jak i przychodzące, a także te wysłane. Może również korzystać z telefonu ofiary wysyłając wiadomości SMS Premium albo szantażować ujawnieniem nielegalnie pozyskanych informacji. Jeśli użytkownik korzysta z uwierzytelniania dwuskładnikowego za pośrednictwem kodów SMS, istnieje duże ryzyko, że cyberprzestępca może w ten sposób pozyskać ten drugi składnik zabezpieczający, co umożliwi mu dostęp do profili w mediach społecznościowych, a nawet do konta bankowego. 

Podobne ataki mogą być przeprowadzone w sposób bardziej zmasowany, np.: poprzez rozrzucenie “legalnie” wyglądających ulotek, np. z banku lub innej znanej i cieszącej się zaufaniem instytucji, z kodem QR w centrum handlowym – oferując rabat, bon podarunkowy czy inną “przynętę” skłaniającą do zeskanowania kodu. 

Na początku 2022 roku ofiarą Quishingu stali się użytkownicy portalu Vinted. Cyberprzestępcy podszywają się pod sprzedających wysyłając do kupujących kody QR w celu rzekomo szybkiego dokonania płatności. Przekierowanie z kodu następuje na fałszywą stronę banku, która służy do wyłudzenia danych logowania do bankowości elektronicznej. Wiele niczego nieświadomych osób niestety dało (i nadal daje) się nabrać na ten przekręt i straciło różne kwoty pieniędzy. 

Jak chronić się przed QRishingiem?

Nieodłącznym elementem oszustw na kody QR jest socjotechnika, dlatego ważne jest, aby zachować ostrożność podczas nawiązywania kontaktu z nieznajomymi. Trzeba też pamiętać, aby nie instalować aplikacji, których nie znamy lub które nie zostały pobrane z oficjalnych źródeł. Ponadto, zawsze należy dokładnie sprawdzać informacje i ostrzeżenia dotyczące procesu parowania urządzeń z aplikacjami. To jednak nie wszystko.

W ustawieniach swojego smartfona możesz zdezaktywować dostęp do kamery dla aplikacji zewnętrznych, tak aby aparat był aktywny tylko podczas robienia zdjęć. To brzmi może nieco abstrakcyjnie, ale aktywny aparat w miejscach publicznych może sam zasugerować zeskanowanie kodu QR, a stąd już krótka droga do udanego ataku. Ponadto zaznacz w ustawieniach konieczność zapytania o udzielenie dostępu do aparatu, dla każdej aplikacji, która będzie próbowała uzyskać do niego dostęp – niech ten proces będzie zawsze pod Twoją kontrolą. 

Kolejnym ważnym krokiem, który pomoże w ochronie urządzenia przed atakiem, jest bieżące aktualizowanie systemu oraz aplikacji. Luki w oprogramowaniu mogą bowiem przyczynić się do zwiększenia podatności na atak z wykorzystaniem kodu QR. 

Nic nie zastąpi jednak naszej wzmożonej czujności. Staraj się nie skanować niepotrzebnie kodów QR i zawsze uważaj na sytuację, w których po przejściu na stronę zostaniesz poproszony o podanie swoich danych do logowania. W restauracjach i sklepach zwyczajnie zapytaj obsługę o znaleziony kod – być może został podrzucony przez cyberprzestępców. Unikaj też skanowania kodów w wiadomościach e-mail – chyba, że jesteś pewny, że pochodzą z zaufanego i pewnego źródła. 

A co, gdy już padniesz ofiarą oszustów?

Pozostaje jedynie zachowanie zabezpieczające – w ustawieniach odłącz sparowane urządzenie korzystając z podpowiedzi jakie Google udostępnił w instrukcji do aplikacji Wiadomości. Kolejnym krokiem będzie przejrzenie wiadomości wysyłanych lub ściągnięcie bilingu od operatora – hakerzy mogą na bieżąco usuwać wysyłane SMSy, dlatego jedynym sposobem na sprawdzenie czy nie doszło do wysyłki wiadomości premium może się okazać kontakt z siecią komórkową. Z innego urządzenia zmień także wszystkie hasła do swoich kont w sieci, zadbaj o dobry program antywirusowy, a przede wszystkim – zgłoś sprawę na policję.