Podczas codziennych czynności trzeba stale uważać, aby nie dać się oszukać i nie stracić grubych tysięcy złotych. Phishing, vishing, smishing, spearfishing… Te metody sprowadzają się do jednego – do obrabowania nas z oszczędności całego życia. Pojawiła się nowa metoda ataku na nasze finanse, niestety bardzo wiarygodna. Przestępcy wykorzystują fałszywe kody QR. Jak się bronić?
- Zastanawialiście się kiedyś, ile śladu węglowego generuje Wasza firma? Warto wiedzieć, bo coraz częściej mogą Was o to pytać. Jak policzyć swój ślad? [POWERED BY BANK PEKAO]
- Na jaki procent założyć lokatę, żeby ochronić swoje pieniądze przed inflacją? Trzy kroki [POWERED BY RAISIN]
- Polska na ścieżce inwestycji, Europa na ścieżce konfrontacji. Dr Ernest Pytlarczyk o deglobalizacji [POWERED BY BANK PEKAO]
Jedną z większych zalet czasów, w których żyjemy, jest wielość spraw, które załatwimy za pośrednictwem telefonu komórkowego. Można zapomnieć dokumentów, kart płatniczych, kart lojalnościowych, gotówki i się tym zupełnie nie stresować, bo wszystko mamy w telefonie. Taka prostota jest też naszym przekleństwem, bo wykorzystują ją również cyberprzestępcy. Prosto i wygodnie możemy stracić oszczędności całego życia. Właśnie pojawił się nowy, całkiem pomysłowy wariant kradzieży.
To nie jest pierwszy raz, gdy ostrzegamy Was przed trwającymi cyberatakami na Wasze oszczędności. W końcu ochrona zarobionych pieniędzy jest równie ważna, co zarabianie nowych. O oszustwach internetowych pisaliśmy m.in. tutaj, tutaj i tutaj. I – niestety – będziemy jeszcze pisać. Tym razem atak jest bardzo wiarygodny, a co za tym idzie, dosyć łatwo możemy się nabrać i stracić spore oszczędności.
Phishing? Fałszywe kody QR na parkomatach
Trzeba przyznać jedno – oszuści internetowi zaskakująco szybko i dobrze wymyślają nowe sposoby na okradanie nas z pieniędzy. To już nie są po prostu ataki „na nigeryjskiego księcia” (chociaż i one były zadziwiająco skuteczne). Metody oszustw są stale udoskonalane, aby zaskoczyć nas w najmniej spodziewanych sytuacjach. Najnowszy atak jest naprawdę sprytny. O co chodzi?
O zagrożeniu poinformował oficjalny profil Krakowa na Facebooku (screen poniżej). W skrócie – na niektórych parkomatach w mieście pojawił się fałszywe kody QR, które, zamiast ułatwiać nam płatność, prowadzą do strony, na której oszuści przechwycą dane naszej karty płatniczej. Taki phishing w nowej formie – nie tylko nie opłacimy parkingu, ale jeszcze ktoś nas ogołoci z pieniędzy.
Kody QR są to alfanumeryczne, dwuwymiarowe, kwadratowe kody graficzne, które stosunkowo łatwo stworzyć i odczytać. Najczęściej są używane do zakodowania adresów stron internetowych (linków), ale za ich pomocą możemy zakodować właściwie każde metadane (tutaj pisałem szerzej o metadanych), a ich możliwości stale się rozwijają.
Kiedyś do ich odczytania była potrzebna specjalna aplikacja, ale obecnie (w większości modeli telefonów) wystarczy po prostu włączyć aparat w telefonie komórkowym i nakierować go na taki kod. To bardzo wygodne, bo nie musimy nic zapisywać ani zapamiętywać.
Do kodów QR jesteśmy przyzwyczajeni i często ułatwiają nam życie. Różne firmy naklejają je, aby ułatwić nam wejście na jakąś stronę internetową lub ściągnięcie jakiejś aplikacji mobilnej. Skanując kod QR, możemy np. zobaczyć menu w restauracji, zanim przyjdzie kelner, ściągnąć aplikację do zapłaty za bilet autobusowy, zapłacić za parking, dać napiwek kelnerowi, obejrzeć video instrukcję zakupionego sprzętu, poznać zasady gry planszowej, znaleźć wskazówkę w escape roomie, pobrać kupony zniżkowe itd. Sam wielokrotnie z nich korzystałem.
Niestety kody QR bardzo łatwo wygenerować (specjalnie dla Was wygenerowałem kod QR z odnośnikiem do Subiektywnie o Finansach – jest obok) i w związku z tym musimy do nich podchodzić nieufnie. Przykładem jest właśnie opisana wyżej sytuacja, w której ktoś stworzył fałszywe kody QR, które zachęcały do płatności za parkowanie, a wyłudzały dane karty płatniczej.
Sprawy nie ułatwia też fakt, że takie kody w Krakowie nie zostały od razu usunięte. Trzeba bowiem poczekać na… zabezpieczenie śladów przez policję. To trochę potraktowanie sprawy po macoszemu, bo przecież, gdyby ktoś znalazł granat, to chyba on by nie czekał na… zabezpieczenie śladów przez policję? Brzmi komicznie. Z dobrych wiadomości mam taką, że Ci akurat oszuści zostali zatrzymani. To jednak nic nie zmienia, bo jutro mogą pojawić się nowi, którzy wydrukują nowe kody QR.
Phishing za pomocą kodu QR – jak się bronić?
Parkomaty w Krakowie są tylko przykładem. Wyobrażam sobie, że fałszywe kody QR pojawią się w wielu miejscach i narażą nas na otwieranie niebezpiecznych stron internetowych, a w rezultacie na utratę danych osobowych, pieniędzy z karty płatniczej czy nawet dostępu do bankowości internetowej (a więc nawet oszczędności całego życia).
Czy w związku z tym, dla naszego bezpieczeństwa, powinniśmy unikać skanowania kodów QR? Daleki jestem od takiego wniosku. Tak samo jak nie trzeba rezygnować z zakupów w internecie z powodu oszustw i z aplikacji mobilnych banków z powodu kradzieży, tak samo nie trzeba rezygnować z korzystania z kodów QR. Warto jednak robić to z głową. Jak nie dać się nabrać na podobne ataki?
Po pierwsze zawsze Wam doradzamy, aby nie klikać w żaden otrzymany link (np. SMS-em, e-mailem, innym komunikatorem). Jeżeli zainteresowała Was treść, to najłatwiej samodzielnie otworzyć stronę internetową i poszukajcie danej zawartości lub nawet zadzwonić do nadawcy w tej sprawie. Niestety łatwo zapomnieć, że kody QR to też linki. A z jakiegoś powodu podświadomie bardziej ufamy kodom QR niż linkom. Może i ładniej wyglądają, ale na pewno nie są bezpieczniejsze!
Po drugie nie możemy ufać otoczeniu. Powyższy atak uwiarygodnia to, że naklejki z kodami QR były naklejone na parkomat. Nie możemy automatycznie zakładać (a tak niestety robi wiele osób), że sytuacja, w której jesteśmy, lub strona internetowa, na której się znajdujemy, uwiarygodnia link. Przecież każdy może wykupić reklamę np. na Facebooku z fałszywym linkiem lub nakleić fałszywą naklejkę (niemal identyczną jak oryginalna) na parkomat (i nie tylko na parkomat – np. w restauracji, przy wejściu do parku narodowego itd.).
Po trzecie, jeżeli z jakiegoś powodu chcemy otworzyć dany kod QR, to zweryfikujmy adres strony w przeglądarce. Sprawdźmy, czy nie wygląda podejrzanie – na oficjalnych stronach raczej nie ma literówek czy zagranicznych końcówek. Jeżeli jest to strona, na której będziemy podawać jakieś wrażliwe dane (np. osobowe, karty płatniczej, hasła itd.), to zachęcam do samodzielnego wpisywania adresu w przeglądarkę, aby upewnić się, że ktoś nie podmienił podobnie wyglądających liter (jak np. na screenie poniżej – zauważcie, że to nie jest strona LOT).
Po czwarte warto korzystać z superaplikacji, za pomocą których załatwimy wiele spraw, a które najczęściej i tak mamy zainstalowane w telefonie. Przykładowo możemy zapłacić za parkingi, bilety komunikacyjne, autostrady czy bilety do kina bezpośrednio w aplikacjach bankowych. Są też ogólnopolskie aplikacje w stylu mPay czy moBiLET.
Po piąte, jeśli wszystko powyższe zawiedzie, warto mieć przygotowaną na taką sytuację dodatkową (np. wirtualną) kartę płatniczą. Taka karta oczywiście musi być przypisana do osobnego portfela lub posiadać niski limit. W rezultacie ewentualna strata gotówki nie będzie znacząca.
„Trzeba być strasznie naiwnym, aby się na to nabrać”
Zawsze, gdy piszę artykuły o oszustwach internetowych, obawiam się komentarzy, że moje rady są trywialne („przecież każdy wie, żeby nie klikać w linki”), a na takie oszustwa nabierają się tylko naprawdę naiwne osoby („ale naiwniak, ja bym się nie dał wykiwać”). To nieprawda.
W praktyce przestępcy są do ataku bardzo dobrze przygotowani (np. dzwonią lub wysyłają SMS-y z oficjalnego numeru banku albo piszą z Messengera naszej przyjaciółki), a my nie jesteśmy przygotowani w ogóle. Oni wiedzą, co powiedzieć lub zrobić, a my z łatwością możemy popełnić mały błąd, przez który stracimy oszczędności całego życia. Szczególnie gdy atak zaskoczy nas w stresującym momencie.
Najczęściej przestępcy stawiają nas pod presją czasu („dzwonię z banku, ktoś chce na Pana wziąć kredyt, ale jak szybko zadziałamy, to uratuje Pan swoje oszczędności”), albo z jakiegoś powodu (podświadomie?) sami uwiarygodniamy daną sytuację (ktoś czeka na paczkę, a tu akurat przychodzi SMS o wymaganej dopłacie do paczki), albo boimy się, że coś stracimy (taka dobra cena, trzeba szybko kupić jakiś towar; trzeba zapłacić rachunek, bo mi odetną prąd).
Oszuści wykorzystują głośne tematy (np. mamy wysoką inflację, więc rośnie liczba przestępstw na fałszywe inwestycje, które mają zachęcać nas do ochrony wartości naszych oszczędności) i takie, z którymi wszyscy mamy do czynienia (zakupy na OLX, przesyłki kurierskie, rachunki za media itd.).
Skoro liczba ataków jest tak duża, to to po prostu musi działać. Dają się nabrać dosłownie wszyscy: młodsi i starsi, niewykształceni i Ci z wyższym wykształceniem, kobiety i mężczyźni. Sam w ciągu ostatniego miesiąca słyszałem o dwóch osobach, które straciły odpowiednio 250 000 zł i 40 000 zł.
Potwierdzają to też statystyki. Wpadł mi w ręce Raport Antyfraudowy BIK 2022 (do pobrania tutaj). Co się okazuje? Liczba oszustw jest ogromna. Co trzeci badany osobiście doświadczył prób wyłudzenia. Najczęściej spotykanym wyłudzeniem jest tzw. phishing. To oszustwo polegające na tym, że przestępca podszywa się pod jakąś osobę lub instytucję w celu wyłudzenia naszych danych (np. loginów i haseł), zainfekowania naszego komputera czy nakłonienia nas do podjęcia określonych działań. 34% badanych stwierdziło, że oni lub ktoś, kogo znają, mieli kontakt z phishingiem.
Inne popularne oszustwa to wyłudzenia pieniędzy poprzez odpowiedź na e-maile sprzedażowe, wygrane w loterii, super okazje (dotyczy to 29% osób, które albo się z tym spotkały same, albo znają kogoś, kto się z tym zetknął); wyłudzenia pieniędzy po przechwyceniu konta w mediach społecznościowych (27%); wyłudzenia na zbiórki charytatywne (26%), wyłudzenia metodami podszywania się pod instytucje (24%); wyłudzenia kredytów lub abonamentów na skradzione dane (22%) i wyłudzenia na fałszywe inwestycje (20%).
Raport Antyfraudowy BIK jest też druzgoczący dla naszej świadomości o bezpieczeństwie finansowym. Okazuje się, że 75% badanych nie rozpoznało prawidłowo podejrzanego linku internetowego, który nie powinien być otwierany. To trzech na czterech badanych! Dodatkowo prawie połowa (48%) ankietowanych nie wie, co oznacza symbol kłódki w pasku adresu przeglądarki, a trzech na czterech pytanych (72%) nie potrafiło zdefiniować słowa „scam”. To pokazuje, jak duża grupa ludzi może łatwo stać się celem ataku.
Bardzo często sami pomagamy w oszustwie. Przestępcy nas tylko nakłaniają do samodzielnego ułatwienia całej akcji (np. do podania danych karty płatniczej, zainstalowania złośliwego oprogramowania, podaniu kodu Blik itp.), a my to… robimy z własnej woli. Dlatego pamiętajcie, że najlepszą ochroną przed kradzieżą jest cierpliwość i opanowanie. Jeśli będziecie gdzieś podawać dane (osobowe, karty płatniczej, hasła itd.), to zawsze trzy razy się zastanówcie, a nawet skonsultujcie to z kimś, komu ufacie.
Zdjęcie główne: Racool_studio / Freepik
