Zeskanujesz i stracisz pieniądze. Nowy hit cyberprzestępców przeraża

Cyberprzestępcy znaleźli nowy, niezwykle przebiegły sposób na wyłudzanie naszych danych i pieniędzy, wykorzystując do tego zaufanie, jakim darzymy kody QR. Nowa fala ataków typu „quishing” imituje oficjalne powiadomienia o mandatach drogowych, uderzając w naszą czujność za pomocą strachu i pośpiechu.

Ewolucja phishingu: Od podejrzanych linków do „bezpiecznych” kodów QR

Metody internetowych naciągaczy ewoluują na naszych oczach. Jeszcze niedawno klasycznym schematem był SMS z linkiem do rzekomej dopłaty za paczkę. Dziś przestępcy stają się znacznie bardziej wyrafinowani. Najnowsza kampania, zaobserwowana przez badaczy bezpieczeństwa, opiera się na tzw. quishingu (phishingu z wykorzystaniem kodów QR).

Scenariusz ataku jest prosty, ale skuteczny. Ofiara otrzymuje wiadomość tekstową o rzekomym naruszeniu przepisów drogowych lub „zawiadomienie o zwłoce” w płatności. Zamiast tradycyjnego, podejrzanego linku, w wiadomości znajduje się profesjonalnie wyglądająca grafika z oficjalnymi logotypami i dużym kodem QR. Ofiara jest nakłaniana do jego zeskanowania, aby uniknąć wysokich kar finansowych lub kroków prawnych. To przejście na kody QR jest kluczowe. Obrazy te znacznie trudniej przefiltrować automatycznym systemom bezpieczeństwa, które zazwyczaj skanują treść pod kątem podejrzanych adresów URL.

Mechanizm oszustwa: Jak działa pułapka na „cyfrowy mandat”?

Kiedy niczego niepodejrzewający użytkownik skanuje kod, zostaje przekierowany na fałszywą stronę internetową, która do złudzenia przypomina oficjalne portale rządowe czy serwisy wydziałów komunikacji. Witryny te są zaprojektowane tak, aby budować zaufanie – mają poprawne kolory, logotypy, a nawet sekcje z regulaminami.

Oszuści stosują tutaj genialny w swojej prostocie trik psychologiczny. Często proszą o uregulowanie „niewielkiej opłaty manipulacyjnej” – na przykład 25 lub 30 złotych – aby zamknąć sprawę mandatu. Kwota jest na tyle niska, że wiele osób decyduje się ją zapłacić „dla świętego spokoju”. Niestety, celem nie jest te kilkadziesiąt złotych. Prawdziwym łupem są dane wpisywane w formularzu płatności:

• Pełne imię i nazwisko oraz adres zamieszkania,
• Numer telefonu i PESEL,
• Pełne dane karty płatniczej (numer, data ważności, kod CVV).

Z chwilą zatwierdzenia transakcji, przestępcy zyskują pełen dostęp do środków na koncie ofiary lub mogą wykorzystać jej tożsamość do zaciągania zobowiązań finansowych.

Dlaczego kody QR stały się bronią w rękach cyberprzestępców?

Wzrost popularności kodów QR w codziennym życiu – od menu w restauracjach po płatności parkingowe – sprawił, że przestaliśmy kojarzyć je z zagrożeniem. Traktujemy je jako synonim wygody. To właśnie to uśpienie czujności wykorzystują hakerzy.

Eksperci ostrzegają, że kody QR są trudniejsze do wizualnej weryfikacji niż zwykły tekst. Widząc link bit.ly/podejrzana-strona, możemy nabrać podejrzeń. Widząc czarno-biały kwadrat kodu QR, nie jesteśmy w stanie stwierdzić, dokąd nas on zaprowadzi, dopóki go nie użyjemy. Dodatkowo, pośpiech towarzyszący rzekomym problemom z prawem sprawia, że nawet osoby dbające o higienę cyfrową dają się złapać w tę pułapkę.

Jak nie dać się oszukać na „kod QR”?

Pamiętajmy o złotej zasadzie: urzędy, sądy i policja nigdy nie przesyłają powiadomień o mandatach ani linków do płatności za pośrednictwem niezamówionych wiadomości SMS czy komunikatorów. Każda próba wymuszenia skanowania kodu QR w kontekście finansowym powinna zapalić w naszej głowie czerwoną lampkę.

W przyszłości ataki te będą prawdopodobnie jeszcze bardziej spersonalizowane, wykorzystując dane wyciekłe z innych serwisów, by uwiarygodnić „mandat”. Najlepszą obroną pozostaje sceptycyzm. Jeśli dostaniesz informację o karze, sprawdź ją bezpośrednio na oficjalnej stronie rządowej (np. mObywatel lub ePUAP), wpisując adres ręcznie w przeglądarce.