Kody QR zalewają ulice. Dlaczego skanowanie ich w ciemno to proszenie się o wyczyszczenie konta?

(Artykuł zewnętrzny) Kody QR są dziś wszędzie. Zastępują karty menu w restauracjach na limanowskim Rynku, pojawiają się na nowych wiatach przystankowych, ułatwiają płatności na parkomatach pod Szpitalem Powiatowym w Limanowej i widnieją na fakturach za prąd czy wywóz śmieci. Włodarze miast i gmin chętnie zlecają kolejne przetargi na tablice informacyjne naszpikowane cyfrowymi nowinkami. Problem polega na tym, że urzędnicy z dumą wdrażają technologie, ale zapominają o jednym: nikt nie pilnuje, co właściwie skanują mieszkańcy. A to idealne środowisko dla oszustów.

Quishing, czyli cyfrowa rosyjska ruletka

Oszustwo, z którym mamy dziś do czynienia, nazywa się quishingiem (połączenie słów QR i phishing). Mechanizm jest obnażający w swojej prostocie. Cyberprzestępcy nie muszą włamywać się do serwerów miejskich ani baz danych dostawców usług. Wystarczy im rolka naklejek wydrukowanych na domowej drukarce.

Przestępcy fizycznie naklejają własne kody QR na te oryginalne – na parkomatach, paczkomatach czy słupach ogłoszeniowych. Gdy nieświadomy mieszkaniec powiatu limanowskiego skanuje taki kod, zamiast na oficjalną stronę urzędu czy banku, trafia na perfekcyjnie podrobioną witrynę. Tam wpisuje dane logowania, numery kart płatniczych, a czasem nieświadomie instaluje na swoim smartfonie złośliwe oprogramowanie.

Tradycyjne programy antywirusowe w telefonach często bywają bezradne. Nie potrafią „przeczytać” i zweryfikować złośliwego linku, dopóki fizycznie go nie klikniesz i nie załadujesz strony.

Pożar osobówki na drodze krajowej nr 28 Robert HOOD

Gdzie w powiecie czają się pułapki?

Zjawisko przybiera na sile, a instytucje publiczne zdają się bagatelizować problem, wydając w najlepszym razie lakoniczne komunikaty, które i tak nie trafiają do przeciętnego obywatela. Gdzie najłatwiej paść ofiarą oszustwa?

• Fałszywe wezwania do zapłaty (tzw. "mandaty"): Oszuści wkładają za wycieraczki samochodów zaparkowanych w centrum miasta fałszywe wezwania. Widnieje na nich groźna kwota i kod QR „do szybkiej płatności”. Przerażony kierowca skanuje kod, by szybko załatwić sprawę i przelewa pieniądze bezpośrednio na konto złodzieja.

• Naklejki na parkomatach i terminalach: To plaga w wielu miastach. Wrzucasz monetę – nic. Chcesz zapłacić telefonem, skanujesz kod naklejony na obudowie maszyny i zamiast opłacić bilet parkingowy, przekazujesz oszustom pełne dane swojej karty kredytowej.

• Wiadomości SMS i e-maile (Zaległość za prąd): Cyberprzestępcy masowo wysyłają do mieszkańców fałszywe wiadomości przypominające o niedopłacie w zakładzie energetycznym, dołączając kod QR, który ma ułatwić uregulowanie długu.

Instrukcja przetrwania: Jak patrzeć hakerom na ręce?

Władza samorządowa i operatorzy usług mają obowiązek dbać o bezpieczeństwo wdrażanych rozwiązań, ale w rzeczywistości obywatele muszą radzić sobie sami. Włączmy myślenie krytyczne i stosujmy zasadę ograniczonego zaufania.

1. Przeprowadź test palca: Zanim zeskanujesz kod na publicznym urządzeniu (parkomat, tablica urzędowa), po prostu przesuń po nim palcem. Czujesz wyraźną krawędź naklejki, która przykrywa coś pod spodem? Natychmiast zrezygnuj i zgłoś to na policję.

2. Czytaj adresy URL: Współczesne smartfony po nakierowaniu aparatu na kod wyświetlają podgląd adresu, do którego prowadzi. Jeśli zamiast limanowa.in czy gov.pl widzisz ciąg losowych znaków (np. logowanie-bezpieczenstwo-weryfikacja.com), przerwij operację.

3. Zabezpiecz swoje połączenie: Oszuści często wykorzystują fakt, że skanujemy kody korzystając z niezabezpieczonych, publicznych sieci Wi-Fi – w restauracjach, urzędach czy galeriach. Solidne szyfrowanie połączenia to konieczność. Warto zorientować się, vpn ile kosztuje, ponieważ jest to jedna z najskuteczniejszych linii obrony przed przechwyceniem danych w otwartych sieciach.

4. Zrezygnuj ze skanera: Jeśli to możliwe, wpisuj adresy stron ręcznie lub korzystaj wyłącznie z dedykowanych, zweryfikowanych aplikacji bankowych i miejskich (np. do opłacania parkingu).

    Nie dajmy sobie wmówić, że każda cyfrowa innowacja to bezwzględne dobrodziejstwo. Kod QR to tylko narzędzie – równie użyteczne dla urzędnika chcącego ułatwić nam życie, co dla oszusta próbującego je zrujnować. Warto o tym pamiętać, zanim kolejny raz bezrefleksyjnie sięgniemy po telefon.