Phishing, vishing czy smishing to terminy dobrze znane większości czytelników Bankier.pl. Specjaliści ostrzegają jednak przed kolejną wariacją tych metod stosowaną przez przestępców. Jest to quishing, który obecnie zaczyna się coraz mocniej rozkręcać.
Dla formalności przypomnijmy, że phishing to metoda wyłudzania danych i pieniędzy za pomocą spreparowanych wiadomości e-mail. Oszust podszywa się pod bank i wysyła klientowi podrobioną wiadomość z prośbą o pilne zalogowanie się do konta. Podsyła przy tym link kierujący do spreparowanej strony. Jeśli klient wprowadzi tam dane, trafiają w ręce przestępców.
Na podobnych zasadach działa smishing (SMS phishing), ale w tym przypadku linki wysyłane są w SMS-ach. Mogą prowadzić do fałszywych stron lub zachęcać do pobrania podrobionych aplikacji bankowych na telefon. Z kolei vishing (Voice phishing) to podszywanie się pod pracownika banku w trakcie rozmowy telefonicznej i wyłudzanie wrażliwych informacji.
Czym jest quishing?
To metoda przestępców wykorzystująca kody QR. Takie kody skanowane są aparatem w smartfonie i przenoszą nas do różnych stron internetowych. Rozwiązanie to często wykorzystywane jest w marketingu, reklamie, w restauracjach, do płatności czy nawet na fakturach.
- W kodach QR może być przechowywany szeroki zakres informacji, łatwo dostępny za pomocą prostego skanowania. Jest to wygodne rozwiązanie, które niestety otwiera furtkę cyberprzestępcom - ostrzega Marijus Briedis, dyrektor ds. technologii w firmie NordVPN.
- Użytkownicy często klikają linki bez zastanowienia, nawet jeśli nie mogą ich zweryfikować. Następnie lądują na stronach phishingowych lub nieumyślnie instalują złośliwe oprogramowanie – dodaje ekspert.
Z badania firmy NordVPN wynika, że w Polsce z kodów QR korzysta już 86 proc. osób, a 22 proc. robi to przynajmniej raz w tygodniu. Korzystanie z kodów QR jest szczególnie powszechne wśród młodszych pokoleń: 29 proc. przedstawicieli pokolenia Z i 26 proc. milenialsów korzysta z kodów QR co tydzień. Użycie jest również stosunkowo wysokie wśród pokolenia X — tylko 14 proc. twierdzi, że nigdy ich nie używa. Starsi użytkownicy rzadziej korzystają z kodów QR: 3 proc. korzysta z nich codziennie, a 14 proc. co najmniej raz w miesiącu.
Jak oszukiwano klientów kodami QR?
Eksperci podkreślają, że kody QR nie są z natury niebezpieczne, ale ułatwiają atakującym zwabienie użytkowników na fałszywe strony internetowe lub kradzież danych osobowych. Głównym problemem jest to, że użytkownicy nie widzą linku kryjącego się za kodem na pierwszy rzut oka.
- To tak, jakbyśmy kliknęli link, nie wiedząc, co się za nim kryje — sytuacja nie do pomyślenia w komunikacji e-mailowej. Tak się dzieje z kodami QR każdego dnia – mówi Marijus Briedis.
Media donosiły już o przypadkach oszustw z wykorzystaniem kodów QR. Swojego czasu przestępcy nakleili podrobione kody na automaty parkingowe w jednym z miast, a osoby dokonujące opłaty za postój w rzeczywistości przelewali pieniądze oszustom. Była też mowa o fałszywych fakturach wrzucanych do skrzynek (lub rozsyłanych e-mailem), gdzie zamieszczano fałszywy kod QR kierujący płatność do przestępców.
Jak się chronić przed quishingiem?
Eksperci zalecają więc, by podejmować środki ostrożności. Większość nowoczesnych smartfonów wyświetla już dziś docelowy adres URL przed jego otwarciem. Warto rzucić na niego okiem. Kody QR nie powinny kierować do stron, w których trzeba wypełniać formularze z danymi osobowymi. Jeśli tak się stanie, użytkownikowi powinna się zapalić w głowie czerwona lampka.
Nie należy też korzystać z niezaufanych źródeł, bo kody QR na plakatach czy reklamach mogą zostać sfałszowane. Eksperci zalecają też, by nie przyznawać telefonom automatycznego dostępu do takich funkcji jak „automatyczne otwieranie” lub „przekierowanie”. Warto mieć też oprogramowanie zabezpieczające w telefonie.
