Kody szybkiej odpowiedzi, znane też jako QR, ułatwiają życie, ale mogą być niebezpieczne. Zeskanowanie biało-czarnych wzorów telefonem komórkowym wydaje się naturalnym odruchem, gdy sięgamy po informacje. Cyberprzestępcy uznali, że ten mechanizm może posłużyć także im.

Kody QR ułatwiają życie, ale równie dobrze mogą je utrudnić, gdy zeskanujemy kod przygotowany przez przestępców.

Przestępczość z użyciem takich kodów to tzw. quishing.

Specjaliści ostrzegają, że kody mogą służyć nie tylko do wyłudzania danych, ale i pieniędzy.

Wirtualne zagrożenie przynosi realne straty. QR Code, czyli Quick Response Code – kod szybkiej odpowiedzi – pozwala na zapisanie dużej ilości danych na małej powierzchni. Zeskanowanie go smartfonem pozwala na przeniesienie od razu do określonej strony internetowej – tak jest na przykład z zakupem biletów autobusowych w Górnośląsko-Zagłębiowskiej Metropolii.

- Dzięki kodom QR można szybko udostępniać informacje, linki do stron, płatności czy nawet połączenia z sieciami Wi-Fi, co otwiera szerokie możliwości w handlu, reklamie i komunikacji. Kody QR obecne są zarówno w mediach elektronicznych jak i w świecie analogowym, można niejednokrotnie spotkać kody QR wydrukowane i przyklejone na tablicach ogłoszeń, na plakatach, tabliczkach informacyjnych różnych urządzeń – mówi Bartosz Pastuszka, szef firmy doradczej NaviRisk.

Problem w tym, że w rzeczywistości nie widać, co kryje się za kodem QR, ani na jaką stronę o przekierowuje. A to już otwarte drzwi dla przestępców.

Quishing to oszustwo, w którym cyberprzestępca tworzy spreparowany kod QR prowadzący pozornie choćby do e-płatności, a faktycznie przekierowujący do fałszywej witryny lub prowadzący do pobrana złośliwego oprogramowania.

Przykładów cyberprzestępczości z użyciem kodów QR jest coraz więcej

Policja w Mławie informowała o tym, że hakerzy wykorzystują popularną wśród młodych fanów gier video platformę komunikacyjną, wysyłając dzieciom kody QR do nowych gier lub dodatków do gier - Po zeskanowaniu, konto abonenta, czyli w tym przypadku rodzica, było obciążane opłatami, naliczanymi przez operatora, w wysokości ponad 800 zł, za zakupione aplikacje i gry, które nigdy do użytkownika nie dotarły – ostrzegała w rozmowie z PAP rzeczniczka mławskiej Komendy Powiatowej Policji asp. szt. Anna Pawłowska.

Ofiarą przestępstwa padł w ostatnich dniach także 29-letni mieszkaniec powiatu płońskiego, który za pomocą kodu QR miał odebrać pieniądze ze sprzedaży karty graficznej, bo jego kontrahentka – by rzekomo przyspieszyć finalizację transakcji – wysłała mu kod QR prowadzący do strony, na której - po wybraniu swojego banku i zalogowaniu na konto - miał do razu odebrać pieniądze. Po zalogowaniu do bankowości elektronicznej mężczyzna zobaczył komunikat „przetwarzanie danych”, a z konta zniknęło 7,6 tys. zł.

Ostrzeżenie w podobnej sprawie wydała też Naukowa i Akademicka Sieć Komputerowa (NASK), która odnotowała serię oszustw wykorzystujących wizerunki Straży Miejskiej i Policji.

- Mieszkańcy Warszawy znajdują za wycieraczkami samochodów kartki informujące o naruszeniu przepisów prawa o ruchu drogowym, zawierające kod QR. Wiadomość rzekomo zostawiona jest przez straż miejską. Użytkownik może na niej nie tylko zapoznać się z wysokością „mandatu”, ale także opłacić go, podając dane karty kredytowej. Oczywiście mandat jest fałszywy. Podanie danych karty kredytowej może zostać wykorzystane do kradzieży pieniędzy z konta ofiary - informuje NASK.

Rozsądek, ostrożność i wiedza najlepszym orężem w walce z quishingiem

- Kody QR są elastycznymi narzędziami, które mogą zakodować wiele różnych typów informacji, dzięki czemu stały się popularne w wielu różnych zastosowaniach. Ważne jest, aby zawsze być ostrożnym przy skanowaniu kodów QR upewnić się, że wykorzystywane urządzenia mają zainstalowane odpowiednie zabezpieczenia oraz są pod kątem ochrony są właściwie skonfigurowane – tłumaczy Bartosz Pastuszka z NaviRisk.

Dlatego – jak podkreślają eksperci – kluczowe jest między innymi unikanie skanowania kodów z nieznanych plakatów, ulotek czy wiadomości e-mail, korzystanie z zaufanych aplikacji do skanowania kodów QR, które przedstawiają pełny adres URL przed przekierowaniem i unikanie podawania danych osobowych czy informacji płatniczych.