Szwajcarki Blick opisuje historię swojej czytelniczki – Karin Thalmann z Winterthur. Podobnie jak wiele innych osób, jest ona wyczulona na próby oszustw w Internecie. Jednak rencistka  błędnie założyła, że jest bezpieczna od oszustw związanych z konwencjonalną pocztą.

Niedawno otrzymała list, rzekomo wysłany przez Swiss Post. Poproszono ją o zalogowanie się za pomocą wydrukowanego kodu QR i przelanie 2,90 CHF z powodu niewystarczająco ostemplowanego listu. Następnie musiała wprowadzić dane osobowe.

Thalmann nieuważnie zeskanowała kod QR i zaczęła wpisywać swoje hasło. Na szczęście popełniła błąd i strona się zawiesiła. Zareagowała i anulowała proces. „Niemniej jednak nie jestem teraz pewna, czy mam złośliwe oprogramowanie na moim smartfonie i nawet nie wiem, jak to mogę sprawdzić”, zastanawia się kobieta cytowana przez Blick. 

Na wszelki wypadek zmieniła wszystkie ważne hasła. Chce też zresetować telefon komórkowy, który kupiła zaledwie dwa miesiące temu do ustawień fabrycznych.

Oszuści próbują na wszelkie sposoby

Thalmann prawie padła ofiarą próby quishingu. „Quishing” to połączenie słów powstałe od kodu QR i phishingu. Odnosi się do rodzaju cyberataku, w którym kody QR są wykorzystywane do nakłaniania ludzi do odwiedzania złośliwych stron internetowych lub pobierania szkodliwych treści. Metoda ta staje się coraz bardziej powszechna, ponieważ coraz częściej używamy kodów QR w codziennym życiu, na przykład podczas dokonywania płatności lub uzyskiwania dostępu do menu w restauracjach.

Cyberprzestępcy wykorzystują ten fakt. Łączą oni oszustwa cyfrowe z tradycyjnymi kanałami informacyjnymi, takimi jak listy pocztowe. Rozpowszechniają też fałszywe zawiadomienia o mandatach za parkowanie, które ma się opłacić za pomocą kodu QR. Prawdziwe kody QR na parkingach lub stacjach ładowania oszuści również czasami zakrywają fałszywymi kodami QR, które prowadzą do fałszywych stron internetowych. W niektórych przypadkach umieszczają nawet fałszywe plakaty reklamowe z informacją, że można coś wygrać, jeśli weźmie się udział w konkursie za pomocą kodu QR.

Karin Thalmann ma już doświadczenie w tym zakresie: miesiąc temu otrzymała podobny list, rzekomo od Meteo Schweiz, z prośbą o zainstalowanie aplikacji ostrzegającej o trudnych warunkach pogodowych. „Nie dałam się na to nabrać, ale prawie dałam się nabrać na nową próbę z pocztą!” podsumowuje.

Jak nie paść ofiarą cyberoszustwa?

Swiss Post jest świadoma wielu prób popełnienia oszustwa w jej imieniu. Na specjalnej stronie internetowej wyjaśnia, jak rozpoznać próby oszustwa i co należy zrobić w przypadku ich rozpoznania.

Coraz więcej firm jest wykorzystywanych jako domniemani nadawcy do prób oszustw. Oto najważniejsze wskazówki dotyczące ochrony przed quishingiem:

• Skanowanie kodu QR tylko wtedy, gdy ma się absolutną pewność, że jest on legalny. Kod informacyjny powinien wyświetlać się jako pierwszy, tj. link nie powinien bezpośrednio otwierać strony internetowej.
• Dokładna analiza adresu linku: zwrócenie uwagi na to, czy są błędy ortograficzne, dziwne znaki interpunkcyjne lub inne nieprawidłowości.
• Po otrzymaniu podejrzanego listu, należy zadzwonić do rzekomego nadawcy, aby sprawdzić, czy rzeczywiście go wysłał. Lepiej sprawdzić numer telefonu samodzielnie, zamiast brać go z listu.
• Nigdy nie należy skanować kodu QR bez zastanowienia! Pilne prośby zawarte w liście powinny wzbudzić podejrzenia.
• Jeśli kod QR jest naklejony w miejscu publicznym, nie należy go skanować, tylko zgłosić sprawę operatorowi.
• Jeśli padło się ofiarą oszustwa, natychmiast należy się skontaktować z policją.

Źródło: Blick