Kod QR prowadzi do fałszywej strony, wykradającej dane kart płatniczych. Fałszywe mandaty za parkowanie w Warszawie.

 Jakiś czas temu, hakerzy posunęli się do skorzystania z dość niecodziennych metod. Na parkomatach w Krakowie można było spotkać naklejone fałszywe kody QR. Najprawdopodobniej link prowadzić miał do fałszywej bramki płatności, co mogłoby przyczynić się do opróżnienia konta bankowego. Ponadto, moglibyśmy narazić się na mandat za parking, ponieważ de facto nie uiściliśmy prawdziwej wpłaty, w prawdziwym urządzeniu/aplikacji.

Podejrzani o rozklejanie fałszywych kodów QR w Krakowie zostali ujęci, a tymczasem CERT Polska ostrzega o podobnym oszustwie w postaci mandatów za parkowanie, które można znaleźć w Warszawie:

FAŁSZYWY MANDAT- źródło CERT Polska

Zeskanowanie kodu i kliknięcie na wskazany adres, prowadzi do fałszywej strony z płatnością, gdzie wykradane są dane naszej karty płatniczej (jeśli je podamy).

Jest to bardzo niepokojąca forma działania oszustów, jednak, co do zasady, samo zeskanowanie kodu QR najczęściej jeszcze nie powoduje poważnych skutków. Dopiero podanie danych na takiej podrobionej stronie, może oznaczać dla nas problem.

Kody QR są coraz chętniej wykorzystywane przez przestępców, ponieważ na pierwszy rzut oka nie widzimy dokąd zaprowadzi nas jego zeskanowanie.

Na fałszywe kody QR uważaj również w internecie

Ostatnio, swoją historią podzielił się  mężczyzna, który stracił 1200 złotych za pośrednictwem internetowej aktywności swojego dziecka. Jego syn, grający w jedną z bardzo popularnych gier wśród dzieci i młodzieży, zeskanował kod QR, dzięki czemu atakujący uzyskał dostęp do jego SMSów.

Dziecko podczas jednej z rozgrywek, otrzymało od oszusta (na czacie) kod QR, z prośbą o jego zeskanowanie, a następnie wypełnienie ankiety. Chłopiec nie mógł tego zrobić na swoim telefonie, więc poprosił o pożyczenie telefonu taty. Finalnie mężczyzna otrzymał rachunek od operatora telekomunikacyjnego na kwotę blisko 1200 złotych!

Co się tutaj wydarzyło? Został użyty atak opisywany już jakiś czas temu przez instytucję CERT Polska.

Kolejno:

1. Atakujący generuje najpierw kod QR (np. przez narzędzie Google).
2. Następnie próbuje skłonić swoją ofiarę żeby otworzyła (a w razie potrzeby zainstalowała) na swoim telefonie aplikację Wiadomości.
3. Dalej, ofiara jest proszona aby w aplikacji Wiadomości wybrała opcję 'Parowanie urządzenia’ kodem QR.
4. Po zeskanowaniu przez ofiarę (w aplikacji Wiadomości) kodu QR wygenerowanego w punkcie 1., bez żadnego dalszego potwierdzenia atakujący:

• uzyska wgląd w SMSy ofiary,
• może wysyłać SMSy z jej telefonu,
• ma też dostęp do listy kontaktów.

W skrócie – dokonano pełnej synchronizacji SMSów ofiary z aplikacją webową (będącą w użyciu przez atakującego).

 CERT Polska podsumowuje to w ten sposób:

Należy podkreślić, że do sparowania urządzenia nie jest potrzebne podanie żadnych danych uwierzytelniających, nawet jeżeli korzystamy na powiązanym koncie z uwierzytelniania dwuskładnikowego.
W trakcie procesu parowania brakuje również jakichkolwiek informacji opisujących jego skutki lub ostrzegających przed zagrożeniami.

5. Jakie „korzyści” przynosi oszustom taki atak? Monetyzuje się go poprzez wysyłkę tzw. SMSów premium.