Quishing. Płacisz za postój i nawet nie wiesz, że zostałeś oszukany
Płacenie za postój w mieście to proces bezgotówkowy. Podobnie jest z opłatami za ładowanie samochodu elektrycznego. Trzeba jednak zwracać szczególną uwagę na to komu naprawdę przelewamy pieniądze. Winne są kody QR.
Skanujemy kod QR i robimy szybki przelew. W ten sposób płacimy za parkowanie lub logujemy się też do stacji ładowania i ją uruchamiamy. Wykorzystują to złodzieje.
Niestety w Europie zauważono już pierwsze przypadki oszustw polegających na przyklejeniu na stacji nalepki z kodem prowadzącym do strony phishingowej, co prowadzi do wyłudzenia pieniędzy. Jest to tzw. quishing, czyli phishing z użyciem fałszywych kodów QR.
Dalsza część artykułu pod materiałem wideo
"Chociaż kody QR pojawiły się już w latach 90., quishing jako zagrożenie zaczął się rozwijać w czasie pandemii, gdy stały się powszechniejsze jako bardziej higieniczny sposób dostępu do menu czy formularzy medycznych. Oszuści szybko wykorzystali tę sytuację, podmieniając prawdziwe kody QR na fałszywe. Po ich zeskanowaniu ofiary trafiają na strony phishingowe, gdzie przestępcy mogą przechwytywać ich dane logowania lub próbować instalować złośliwe oprogramowanie. Quishing to wyjątkowo skuteczna metoda, ponieważ kody QR nie wzbudzają tak dużej podejrzliwości jak nieznane linki" - przestrzega Beniamin Szczepankiewicz, analityk laboratorium antywirusowego ESET.
Wykryte do tej pory oszustwa quishingowe polegają na tym, że po zeskanowaniu fałszywego kodu QR osoba jest przekierowana na stronę łudząco podobną do tej, na którą powinien trafić. Po podaniu danych płatniczych próba zapłacenia za ładowanie kończy się niepowodzeniem, po czym użytkownik jest przekierowywany na prawdziwą stronę by nie wzbudzać w ofierze podejrzeń. Dzięki temu ofiary mogą dokończyć transakcję, nie zdając sobie sprawy, że chwilę wcześniej ich dane zostały skradzione.
Podobne oszustwa były już stosowane w przypadku parkometrów m.in. w Krakowie, gdzie kierowcy tracili nie tylko dane swojej karty, ale także ryzykowali nałożenie mandatu przez lokalne władze.
Co można na to poradzić?
Jeśli korzystasz z płatności kodem QR, to najpierw dokładnie się mu przyjrzyj. Sprawdź, czy nalepka nie została przyklejona na innej. Najlepiej w ogóle nie skanować nalepek, a kody QR widniejące na ekranie terminala. Po zeskanowaniu kodu warto przyjrzeć się adresowi URL strony - często od razu widać, że coś jest nie tak.
Jeśli masz już aplikację danej sieci ładowarek, to nie musisz podawać po raz kolejny danych do płatności. Jeżeli strona, na którą jest przekierowania oczekuje od ciebie wpisania numeru karty, to może być oszustwo. Jeśli cokolwiek wzbudza twoje wątpliwości, zadzwoń bezpośrednio do operatora ładowania lub parkowania.
