Mandat za wycieraczką, ulotka, a nawet naklejka w lesie – oszustwo online może zacząć się w realnym świecie. Narzędziem przestępców bywa coraz częściej pozornie niewinny kod QR. Kończy się wyłudzeniem pieniędzy lub wrażliwych danych, już jak najbardziej cyfrowo.
„Nie otwieraj podejrzanych linków” – to jedno z przykazań znanych większości użytkowników internetu. Czasem jednak o tym, dokąd prowadzi nas link, dowiadujemy się, gdy już go uruchomimy. Tak działają kody QR, popularny sposób na umieszczanie odnośników do witryn i aplikacji na opakowaniach, ulotkach i innych nośnikach w świecie offline.
Dla przestępców to okazja, by zwabić ofiary na podrobione strony internetowe i wyłudzić dane. Quishing, czyli ataki phishingowe wykorzystujące kody QR stają się coraz częstsze. Z danych firmy Check Point Software wynika, że w latach 2021-2024 ich liczba wzrosła dziewięciokrotnie. Przez quishingiem przestrzegali w ostatnim czasie specjaliści Krajowego Rejestru Długów. Wskazują oni, że w Polsce pojawiły się takie ataki pod postacią naklejek na parkomaty, fałszywych „mandatów” z rzekomym linkiem do opłacenia należności, a nawet odnośników, które można było spotkać… w lasach.
W przypadku kodów QR zasada ograniczonego zaufania powinna być traktowana wyjątkowo poważnie. Dobrą praktyką jest zrobienie zdjęcia kodu, a następnie sprawdzenie jego zawartości w serwisach pozwalających odczytać zawartość QR (np. QRStuff Decoder). W sklepach z aplikacjami można także znaleźć skanery QR, które wyświetlą pełny link przed jego otwarciem.
Nadpłata za prąd? To próba wyłudzenia
Jednym z ulubionych celów przestępców są klienci dostawców energii. Najwięksi gracze na tym rynku mają miliony klientów, a wysyłane na ślepo maile phishingowe mają sporą szansę trafić w cel.
Tym razem na celowniku znaleźli się odbiorcy Polskiej Grupy Energetycznej (PGE). Przed kampanią oszustów przestrzega CSIRT KNF. Wiadomość przypominająca powiadomienie od PGE przyciąga uwagę obietnicą zwrotu nadpłaty.
W kolejnych krokach przestępcy kierują potencjalne ofiary do strony przypominającej eBOK dostawcy. Po „zalogowaniu”, a w rzeczywistości podaniu na tacy oszustom danych dostępowych, wyświetlany jest formularz wymagający podania danych karty płatniczej. W ten sposób, rzekomo, wypłacone mają być środki. Informacje o plastiku trafiają jednak do przestępców.
Wracają oszustwa na „ofertę pracy”
Zespół CERT Orange ostrzega przed kampanią wykorzystującą SMS-y i zachętę do kontaktu przez aplikację Telegram. W treści wiadomości pojawia się komunikat o tym, że z powodzeniem przeszliśmy przez rekrutację.
Dalszy ciąg wyłudzenia rozgrywa się już w komunikatorze. Przedstawiciel przyszłego „pracodawcy” informuje, że praca polegać będzie np. na dodawaniu do ulubionych towarów na platformie e-commerce. Ma to rzekomo zwiększyć widoczność oferty zleceniodawcy.
Schemat przestępstwa opiera się na stopniowym budowaniu zaufania. „Pracownik” otrzymuje pieniądze, ale także wysyła je do firmy pod różnymi pretekstami. Po serii takich wzajemnych rozliczeń i przesłaniu większej sumy, kontakt się urywa.
Lipne sklepy wciąż kuszą promocjami
Renomowana marka, okazyjne ceny i zakupy online – taki schemat wykorzystują oszustwa bazujące na sklepach-fałszywkach. Do odwiedzenia podrobionej witryny zachęca zwykle reklama publikowana w serwisach społecznościowych. Komunikat i jego oprawa graficzna zazwyczaj do złudzenia przypomina prawdziwe materiały marki.
Zwabiony promocyjnymi okazjami klient kierowany jest na stronę internetową, która zawiera wierną kopię sklepu online. „Zakupy” kończą się wyłudzeniem danych karty płatniczej albo wysłaniem środków prosto w ręce oszustów. Podrobione witryny zdradza jednak co najmniej jeden szczegół – inna nazwa domeny.
CSIRT KNF przypomina o tym, jak przestępcy generują nazwy swoich sklepów-atrap. W ostatnich kampaniach na celowniku oszustów znalazło się kilku znanych detalistów. Czasem w fałszywej domenie jest literówka, a częściej dopisek (np. „-pl”) lub podmieniona domena najwyższego poziomu (chociażby .shop zamiast .com).
