Oszustwa na QR Code - wszystko co trzeba wiedzieć

ofin.pl OszustwaQuishing (Oszustwa na kod QR) – metody, rozpoznawanie i ochrona

Quishing (Oszustwa na kod QR) – metody, rozpoznawanie i ochrona

Quishing, czyli oszustwo wykorzystujące kody QR (Quick Response), to technika cyberprzestępcza polegająca na nakłonieniu ofiary do zeskanowania specjalnie spreparowanego kodu QR. Ukryty za pozornie nieszkodliwym kwadratowym obrazem link prowadzi najczęściej do złośliwej strony internetowej (np. fałszywego panelu logowania w celu wyłudzenia danych – phishingu) lub inicjuje pobranie szkodliwego oprogramowania (malware). Fałszywe kody QR mogą być rozpowszechniane różnymi kanałami – od wiadomości e-mail i SMS, przez media społecznościowe, po fizyczne naklejki w przestrzeni publicznej, wykorzystując fakt, że cel kodu jest niewidoczny przed zeskanowaniem. Zrozumienie mechanizmów działania quishingu oraz stosowanie podstawowych zasad ostrożności przy skanowaniu kodów QR są kluczowe dla zachowania bezpieczeństwa cyfrowego.

Emil Marecki, 07.05.2025 r

Definicja i charakterystyka oszustw na kod QR (Quishing)

Quishing to termin określający rodzaj oszustwa internetowego, który wykorzystuje kody QR (Quick Response) jako narzędzie do przeprowadzania ataków. Jest to forma phishingu lub dystrybucji złośliwego oprogramowania, gdzie tradycyjny link tekstowy zastępowany jest przez obraz kodu QR. Użytkownik, skanując taki kod za pomocą smartfona lub innego urządzenia, jest nieświadomie przekierowywany do szkodliwego zasobu.

Główną cechą, którą wykorzystują oszuści, jest nieprzejrzystość kodu QR – przed zeskanowaniem użytkownik nie jest w stanie łatwo zweryfikować, jaki adres URL lub jaka akcja jest w nim zakodowana. To stwarza pole do manipulacji i ukrywania złośliwych linków pod postacią pozornie legalnych kodów promocyjnych, płatniczych czy informacyjnych.

Mechanizmy działania oszustw wykorzystujących fałszywe kody QR

Oszuści stosują różnorodne metody dystrybucji fałszywych kodów QR oraz różne cele ataków po ich zeskanowaniu. Do najczęstszych mechanizmów należą:

Przekierowanie na fałszywe strony logowania – Kod QR prowadzi do strony internetowej łudząco podobnej do legalnego serwisu (np. banku, portalu społecznościowego, sklepu online). Celem jest wyłudzenie danych logowania (loginu i hasła) od użytkownika, który myśli, że loguje się do prawdziwej usługi. Jest to klasyczny mechanizm phishingu zaadaptowany do kodów QR.
Inicjowanie pobierania złośliwego oprogramowania (Malware) – Zeskanowanie kodu QR może automatycznie rozpocząć pobieranie na urządzenie mobilne szkodliwej aplikacji (np. trojana bankowego, oprogramowania szpiegującego – spyware, czy nawet ransomware blokującego dostęp do danych).
Wyłudzanie danych osobowych lub finansowych – Kod może prowadzić do fałszywych formularzy (np. ankiet, konkursów, aktualizacji danych), które proszą o podanie wrażliwych informacji, takich jak numer PESEL, dane karty płatniczej, czy odpowiedzi na pytania bezpieczeństwa.
Nieautoryzowane połączenie z siecią Wi-Fi – Specjalnie spreparowany kod QR może próbować automatycznie połączyć urządzenie z niezabezpieczoną lub kontrolowaną przez oszustów siecią Wi-Fi, co umożliwia im przechwytywanie ruchu sieciowego.
Przejęcie kontroli nad komunikatorami (np. Google Messages) – Jak ostrzegał CERT Polska, znane są przypadki wykorzystania kodów QR do parowania aplikacji Wiadomości na urządzeniu ofiary z kontem oszusta, co daje mu dostęp do treści SMS-ów (w tym kodów autoryzacyjnych) i możliwość wysyłania wiadomości w imieniu ofiary (np. w celu wyłudzenia pieniędzy od znajomych lub subskrypcji SMS Premium).

Fałszywe kody QR mogą być umieszczane na plakatach w miejscach publicznych, w fałszywych e-mailach, wiadomościach SMS (smishing), na podstawionych stronach internetowych, a nawet jako naklejki na legalnych materiałach informacyjnych.

Rozpoznawanie i zapobieganie oszustwom na kod QR

Chociaż rozpoznanie złośliwego kodu QR na pierwszy rzut oka jest niemożliwe, istnieje szereg zasad ostrożności i sygnałów ostrzegawczych, które pozwalają zminimalizować ryzyko padnięcia ofiarą quishingu.

Sygnały ostrzegawcze:

Kod QR w nieoczekiwanym lub podejrzanym miejscu – Kody umieszczone jako przypadkowe naklejki na ścianach, bankomatach, słupach ogłoszeniowych, bez żadnego kontekstu lub opisu, powinny budzić podejrzenia.
Kod QR w niezweryfikowanej komunikacji – Kody otrzymane w nieoczekiwanych wiadomościach e-mail, SMS lub przez komunikatory od nieznanych nadawców, zwłaszcza jeśli towarzyszy im presja czasu lub obietnica korzyści.
Brak jasnego opisu celu kodu – Legalne zastosowania kodów QR zazwyczaj posiadają informację, do czego dany kod służy (np. "Zeskanuj, aby zapłacić", "Więcej informacji na stronie..."). Kody anonimowe są bardziej ryzykowne.
Fizyczne manipulacje przy kodach – W miejscach publicznych warto zwrócić uwagę, czy na oryginalny kod QR (np. na plakacie informacyjnym) nie została naklejona inna, fałszywa nalepka z kodem.

Zasady zapobiegania:

Skanuj tylko kody z zaufanych źródeł – Unikaj skanowania kodów QR z nieznanych, niezweryfikowanych źródeł, umieszczonych w podejrzanych miejscach lub otrzymanych w nieoczekiwanej komunikacji.
Weryfikuj kontekst – Zastanów się, czy umieszczenie kodu QR w danym miejscu lub w danej wiadomości ma sens i jest logiczne.
Używaj bezpiecznych skanerów QR (jeśli możliwe) – Niektóre aplikacje do skanowania kodów QR oferują funkcję podglądu adresu URL przed jego otwarciem lub ostrzegają przed potencjalnie niebezpiecznymi linkami. Warto sprawdzić ustawienia swojej aplikacji.
Sprawdzaj adres URL po zeskanowaniu (przed podaniem danych) – Jeśli kod QR otwiera stronę internetową, zawsze sprawdź jej adres URL w przeglądarce pod kątem poprawności, literówek oraz obecności certyfikatu SSL (HTTPS), zanim podasz jakiekolwiek dane logowania lub osobowe.
Nie instaluj oprogramowania z nieznanych źródeł – Jeśli zeskanowanie kodu inicjuje pobieranie aplikacji spoza oficjalnych sklepów (Google Play, App Store), przerwij ten proces.
Stosuj ogólne zasady bezpieczeństwa cyfrowego: Utrzymuj aktualne oprogramowanie systemowe i antywirusowe na urządzeniu mobilnym.

Postępowanie w przypadku padnięcia ofiarą Quishingu

Jeśli istnieje podejrzenie, że zeskanowany kod QR był złośliwy i mogło dojść do wycieku danych, instalacji malware lub innych negatywnych konsekwencji, należy podjąć następujące kroki:

Natychmiastowe działania na urządzeniu – Jeśli podejrzewasz instalację złośliwego oprogramowania, rozważ rozłączenie urządzenia od internetu i wykonanie pełnego skanowania za pomocą zaufanego programu antywirusowego.
Zmiana haseł – Jeśli kod prowadził do fałszywej strony logowania i podałeś tam swoje dane, natychmiast zmień hasła do tego serwisu oraz do wszelkich innych kont, gdzie używałeś tego samego lub podobnego hasła (szczególnie do poczty e-mail i bankowości).
Powiadomienie banku – Jeśli istnieje ryzyko, że dane bankowe lub dane karty płatniczej zostały skompromitowane, niezwłocznie skontaktuj się ze swoim bankiem, zastrzeż kartę i złóż ewentualną reklamację podejrzanych transakcji.
Zgłoszenie incydentu do CERT Polska – Warto zgłosić incydent cyberbezpieczeństwa (np. wskazując fałszywą stronę, do której prowadził kod) poprzez formularz online na stronie CERT Polska. Pomaga to w monitorowaniu zagrożeń i blokowaniu szkodliwych zasobów.
Zgłoszenie sprawy na policję – Jeśli doszło do straty finansowej lub kradzieży danych, należy złożyć oficjalne zawiadomienie o podejrzeniu popełnienia przestępstwa.

Szybka reakcja może pomóc w ograniczeniu potencjalnych szkód.

Rola instytucji finansowych w kontekście Quishingu

Chociaż instytucje finansowe rzadko wykorzystują kody QR jako podstawowy element swoich usług transakcyjnych lub komunikacyjnych z klientem, odgrywają one pośrednią, ale ważną rolę w kontekście ochrony przed skutkami Quishingu. Ich działania obejmują:

Zabezpieczanie systemów docelowych – Kluczową rolą banków jest zapewnienie jak najwyższego poziomu bezpieczeństwa ich systemów bankowości internetowej i mobilnej. Nawet jeśli Quishing doprowadzi do wyłudzenia danych logowania, silne mechanizmy uwierzytelniania (np. 2FA) i autoryzacji transakcji mogą utrudnić lub uniemożliwić oszustom dokonanie kradzieży środków.
Monitoring transakcji – Systemy antyfraudowe banków mogą potencjalnie wykryć nietypowe transakcje zainicjowane przez oszustów po przejęciu danych konta (choć przy transakcjach autoryzowanych przez ofiarę jest to trudniejsze).
Procedury reagowania – Banki posiadają procedury przyjmowania zgłoszeń o podejrzeniu oszustwa, blokowania dostępu do konta, zastrzegania kart oraz rozpatrywania reklamacji dotyczących nieautoryzowanych transakcji.
Działania edukacyjne – Podobnie jak w przypadku innych oszustw, instytucje finansowe prowadzą działania informacyjne, ostrzegając klientów przed nowymi zagrożeniami, w tym Quishingiem, i promując zasady bezpiecznego korzystania z usług online.

Należy jednak pamiętać, że odpowiedzialność za bezpieczne skanowanie kodów QR i weryfikację stron, do których one prowadzą, spoczywa przede wszystkim na użytkowniku.

Quishing – kluczowe aspekty i podsumowanie

Quishing, czyli oszustwo wykorzystujące kody QR, stanowi rosnące zagrożenie w przestrzeni cyfrowej, wykorzystujące łatwość skanowania i nieprzejrzystość tych kodów do ukrywania złośliwych linków lub inicjowania pobierania szkodliwego oprogramowania. Główne cele ataków to wyłudzenie danych logowania do bankowości lub innych serwisów, kradzież danych osobowych, infekcja urządzenia malwarem, a nawet przejęcie kontroli nad komunikatorami w celu dalszych wyłudzeń.

Podstawową metodą ochrony jest zasada ograniczonego zaufania wobec kodów QR pochodzących z nieznanych lub niezweryfikowanych źródeł – umieszczonych w przestrzeni publicznej bez kontekstu, otrzymanych w nieoczekiwanej korespondencji elektronicznej czy prezentowanych na podejrzanych stronach internetowych. Zawsze warto, o ile to możliwe, zweryfikować cel kodu przed jego zeskanowaniem lub przynajmniej dokładnie sprawdzić adres URL strony docelowej przed podjęciem jakichkolwiek działań. W przypadku podejrzenia padnięcia ofiarą Quishingu, kluczowe jest szybkie podjęcie działań zaradczych, takich jak zmiana haseł, skanowanie antywirusowe i powiadomienie odpowiednich instytucji (banku, CERT Polska, policji).

Często zadawane pytania

Czy wszystkie aplikacje do skanowania kodów QR są bezpieczne?

Większość popularnych aplikacji do skanowania kodów QR, w tym te wbudowane w systemy operacyjne smartfonów, jest bezpieczna w sensie samego działania (skanowania i odczytywania kodu). Jednak nie wszystkie aplikacje oferują funkcje bezpieczeństwa, takie jak podgląd linku przed otwarciem czy ostrzeganie przed potencjalnie złośliwymi adresami URL. Zaleca się korzystanie z aplikacji od zaufanych dostawców i ewentualne sprawdzenie dostępnych ustawień bezpieczeństwa.

Jakie konkretnie dane mogą zostać skradzione po zeskanowaniu złośliwego kodu QR?

Zależy to od celu, jaki przyświecał oszustom. Jeśli kod prowadził do fałszywej strony logowania (phishing), skradzione mogą zostać dane logowania (login, hasło) do banku, poczty e-mail, mediów społecznościowych itp. Jeśli kod inicjował pobranie malware, zagrożone mogą być wszelkie dane przechowywane na urządzeniu lub wprowadzane za jego pomocą, w tym dane osobowe, dane kart płatniczych, kontakty, historia przeglądania, a nawet treść wiadomości. W przypadku przejęcia kontroli nad komunikatorem, oszust uzyskuje dostęp do historii rozmów i listy kontaktów.

Czy kod QR może bezpośrednio zainstalować wirusa na telefonie bez mojej zgody/interakcji?

Sam akt zeskanowania kodu QR zazwyczaj nie instaluje automatycznie złośliwego oprogramowania bez jakiejkolwiek dalszej interakcji użytkownika. Najczęściej kod QR przekierowuje na stronę internetową, która następnie próbuje nakłonić użytkownika do pobrania i zainstalowania zainfekowanej aplikacji (np. pod pretekstem aktualizacji, specjalnej oferty) lub wykorzystuje luki w przeglądarce czy systemie (choć to rzadsze). Zawsze wymagany jest więc pewien stopień dalszego działania lub zgody ze strony użytkownika (choć może on być nieświadomy zagrożenia).

Czy kody QR używane do płatności (np. w sklepach, za parkowanie, w aplikacjach bankowych) są również podatne na Quishing?

Kody QR generowane przez zaufane systemy płatnicze i aplikacje bankowe w celu autoryzacji konkretnej transakcji są generalnie bezpieczne, ponieważ zawierają zaszyfrowane lub specyficzne dla danej sesji informacje. Ryzyko pojawia się głównie wtedy, gdy oszuści próbują podmienić legalny kod QR na fałszywy (np. naklejką na terminalu płatniczym lub parkometrze), który zamiast inicjować płatność, przekierowuje na złośliwą stronę. Dlatego ważna jest ostrożność i sprawdzanie kontekstu oraz ewentualnych potwierdzeń transakcji w aplikacji.

Co konkretnie robi CERT Polska po otrzymaniu zgłoszenia o złośliwym kodzie QR lub stronie, do której prowadził?

Po otrzymaniu zgłoszenia, analitycy CERT Polska weryfikują, czy wskazany kod QR, link lub strona internetowa rzeczywiście stanowią zagrożenie (np. czy prowadzą do strony phishingowej, dystrybuują malware). Jeśli zagrożenie zostanie potwierdzone, CERT Polska podejmuje działania w celu zablokowania dostępu do szkodliwej strony lub domeny (poprzez współpracę z operatorami telekomunikacyjnymi i dostawcami usług hostingowych). Informacje o nowych zagrożeniach są również wykorzystywane do analizy trendów, wydawania ostrzeżeń publicznych i współpracy z organami ścigania.

Komentarze

Zostaw swój komentarz!

Nie znaleźliśmy żadnej opinii o tym produkcie. Pomóż innym klientom. Podziel się swoją opinią jako pierwszy.

Dodaj komentarz

Podobne treści Quishing (Oszustwa na kod QR) – metody, rozpoznawanie i ochrona

07.05.2025 r

Oszustwa na BLIK – metody wyłudzania kodów i ochrona

Wraz z rozwijającą się technologią, rozwijają się również metody działania oszustów. Cyberprzestępcy znajdują coraz nowsze, coraz bardziej wymyślne sposoby dobrania się do naszych danych, czy pieniędzy. Jedną z takich metod jest Oszustwo na BLIKa - wiadomość od znajomego z prośbą o pieniądze w postaci kodu BLIK w. Dowiedz się więcej na temat tego czym w ogóle jest Oszustwo na BLIKa, jak działa, jak się przed nim bronić i co robić, gdy padliśmy jego ofiarą?

07.05.2025 r

Oszustwa związane z kryptowalutami – metody i ochrona

07.05.2025 r

Misselling – definicja, techniki nieuczciwej sprzedaży i ochrona konsumenta

Wraz z rozwijającą się technologią, rozwijają się również metody działania oszustów. Cyberprzestępcy znajdują coraz nowsze, coraz bardziej wymyślne sposoby dobrania się do naszych danych, czy pieniędzy. Jedną z takich metod jest Misselling - jawne lub potajemne sprzedawanie dodatkowych, zbędnych klientowi produktów. Dowiedz się więcej na temat tego czym w ogóle jest Misselling, jak działa, jak się przed nim bronić i co robić, gdy padliśmy jego ofiarą?

07.05.2025 r

Oszustwa na Allegro – rodzaje, rozpoznawanie i ochrona użytkowników

Wraz z rozwijającą się technologią, rozwijają się również metody działania oszustów. Cyberprzestępcy znajdują coraz nowsze, coraz bardziej wymyślne sposoby dobrania się do naszych danych, czy pieniędzy. Jedną z takich metod jest Oszustwo na Allegro - email od Allegro lub Allegro Lokalnie, w którym musimy podjąć szybką akcję.. Dowiedz się więcej na temat tego czym w ogóle jest Oszustwo na Allegro, jak działa, jak się przed nim bronić i co robić, gdy padliśmy jego ofiarą?

07.05.2025 r

Lottery Scam (Oszustwo loteryjne) – mechanizm, rozpoznawanie i ochrona

Wraz z rozwijającą się technologią, rozwijają się również metody działania oszustów. Cyberprzestępcy znajdują coraz nowsze, coraz bardziej wymyślne sposoby dobrania się do naszych danych, czy pieniędzy. Jedną z takich metod jest Lottery Scam - email, SMS, lub połączenie głosowe z fałszywą informacją o wielkiej wygranej. Dowiedz się więcej na temat tego czym w ogóle jest Lottery Scam, jak działa, jak się przed nim bronić i co robić, gdy padliśmy jego ofiarą?

07.05.2025 r

Oszustwa z wykorzystaniem fałszywych czeków – metody i ochrona

Wraz z rozwijającą się technologią, rozwijają się również metody działania oszustów. Cyberprzestępcy znajdują coraz nowsze, coraz bardziej wymyślne sposoby dobrania się do naszych danych, czy pieniędzy. Jedną z takich metod jest Oszustwo z fałszywymi czekami - dostajemy fałszywą informację o płatności czekiem i konieczności zmiany sposobu płatności. Dowiedz się więcej na temat tego czym w ogóle jest Oszustwo z fałszywymi czekami, jak działa, jak się przed nim bronić i co robić, gdy padliśmy jego ofiarą?

06.05.2025 r

Carding – kradzież i wykorzystanie danych kart płatniczych.

Wraz z rozwijającą się technologią, rozwijają się również metody działania oszustów. Cyberprzestępcy znajdują coraz nowsze, coraz bardziej wymyślne sposoby dobrania się do naszych danych, czy pieniędzy. Jedną z takich metod jest Carding - zdobycie danych karty kredytowej - numer karty, data ważności, oraz numer CVV - w celu kradzieży środków.. Dowiedz się więcej na temat tego czym w ogóle jest Carding, jak działa, jak się przed nim bronić i co robić, gdy padliśmy jego ofiarą?

07.05.2025 r

Kradzież tożsamości - mechanizmy, konsekwencje i metody ochrony

Kradzież tożsamości - wszystko co trzeba wiedziećKradzież tożsamości to forma oszustwa, którego dopuszczają się złodzieje względem banków, instytucji finansowych, czy innych ludzi. Kradzież tożsamości najczęściej jest następstwem kradzieży danych zdobytych w wyniku stosowania innych metod oszustw. W Polskim prawie nie istnieje sformułowanie Kradzież tożsamości, a zdefiniowane jest to jako podszywanie się pod inną osobę. Kradzież tożsamości, polega na uzyskaniu świadczenia pieniężnego, czy dokonaniu transakcji wartej dużą kwotę, wykorzystując cudze dane. My nie bardzo mamy jak się uchronić przed kradzieżą tożsamości, gdyż ta zwykle następstwem wycieku naszych danych osobowych, czy wizerunku. Trudno rozpoznać próbę kradzieży tożsamości, zwłaszcza, że odbywa się bez naszego udziału. Jeśli jednak juz się stało i ktoś z naszych danych skorzystał, niezwłocznie zastrzeżmy dowód w instytucji, która go wystawiła, oraz złóżmy zawiadomienie na policji.

08.05.2025 r

Skimming – kopiowanie danych kart płatniczych. Metody ochrony

Wraz z rozwijającą się technologią, rozwijają się również metody działania oszustów. Cyberprzestępcy znajdują coraz nowsze, coraz bardziej wymyślne sposoby dobrania się do naszych danych, czy pieniędzy. Jedną z takich metod jest Skimming - skopiowanie danych karty kredytowej z paska magnetycznego w celu dalszego wykorzystania. Dowiedz się więcej na temat tego czym w ogóle jest Skimming, jak działa, jak się przed nim bronić i co robić, gdy padliśmy jego ofiarą?

08.05.2025 r

Parabanki a banki – podstawowe różnice

Bank a parabank to nie to samo. Pierwsza z instytucji działa w oparciu o Prawo bankowe. Druga - Kodeks cywilny. W którym przedsiębiorstwie pożyczymy więcej i na jakich warunkach?

08.05.2025 r

Schemat Ponziego i piramidy finansowe – mechanizm działania i ryzyka

Wraz z rozwijającą się technologią, rozwijają się również metody działania oszustów. Cyberprzestępcy znajdują coraz nowsze, coraz bardziej wymyślne sposoby dobrania się do naszych danych, czy pieniędzy. Jedną z takich metod jest Schemat Ponziego - kuszenie wielkimi dochodami z zainwestowanych środków, pod warunkiem pozyskania kolejnych inwestorów. Dowiedz się więcej na temat tego czym w ogóle jest Schemat Ponziego, jak działa, jak się przed nim bronić i co robić, gdy padliśmy jego ofiarą?

08.05.2025 r

Vishing (phishing głosowy) – metody, rozpoznawanie i ochrona

Wraz z rozwijającą się technologią, rozwijają się również metody działania oszustów. Cyberprzestępcy znajdują coraz nowsze, coraz bardziej wymyślne sposoby dobrania się do naszych danych, czy pieniędzy. Jedną z takich metod jest Vishing - połączenia z nieznanych numerów, gdzie rozmówca przedstawia się jako pracownik faktycznie istniejącej instytucji, jak firma kurierska, bank, operator telekomunikacyjny, a nawet policjant, czy urzędnik. Dowiedz się więcej na temat tego czym w ogóle jest Vishing, jak działa, jak się przed nim bronić i co robić, gdy padliśmy jego ofiarą?

08.05.2025 r

Spoofing telefoniczny – podszywanie się pod numery. Jak się uchronić?

Wraz z rozwijającą się technologią, rozwijają się również metody działania oszustów. Cyberprzestępcy znajdują coraz nowsze, coraz bardziej wymyślne sposoby dobrania się do naszych danych, czy pieniędzy. Jedną z takich metod jest Spoofing - połączenia wykonywane przez oszustów z cudzych numerów telefonów. Dowiedz się więcej na temat tego czym w ogóle jest Spoofing, jak działa, jak się przed nim bronić i co robić, gdy padliśmy jego ofiarą?

08.05.2025 r

Oszustwa na Vinted – metody, rozpoznawanie i ochrona użytkowników

Wraz z rozwijającą się technologią, rozwijają się również metody działania oszustów. Cyberprzestępcy znajdują coraz nowsze, coraz bardziej wymyślne sposoby dobrania się do naszych danych, czy pieniędzy. Jedną z takich metod jest Oszustwo na Vinted - email od oszusta z fałszywym potwierdzeniem przelewu. Dowiedz się więcej na temat tego czym w ogóle jest Oszustwo na Vinted, jak działa, jak się przed nim bronić i co robić, gdy padliśmy jego ofiarą?