10-latek zeskanował kod QR. Teraz rodzice muszą sporo zapłacić
Oszustwo z wykorzystaniem kodów QR ma się dobrze. I co gorsza uderza w naprawdę młodych, często nieświadomych zagrożenia użytkowników. Potwierdza to przypadek opisywany przez policję.
Do mławskiej komendy wpłynęły dwa takie zawiadomienia – informuje mazowiecka policja. W obu przypadkach oszuści kontaktowali się z 10-letnimi chłopcami, którzy korzystali z popularnej aplikacji służącej m.in. do komunikacji między graczami. Oszuści proponowali różnego rodzaju dodatki do gier.
Haker przesłał dziecku kod QR do zeskanowania. Po zeskanowaniu konto abonenta – czyli w tym przypadku rodzica - było obciążane opłatami naliczanymi przez operatora w wysokości ponad 800 zł za zakupione aplikacje i gry, które nigdy do użytkownika nie dotarły. Oszukani powiadomili policję.
- informują służby.
Na czym polega przekręt? Oszuści korzystają z opcji w Androidzie, która pozwala na sparowanie telefonu z komputerem właśnie poprzez zeskanowanie kodu QR. Dzięki temu na większym urządzeniu możemy mieć dostęp do wiadomości – zarówno je odbierać, jak i je wysyłać. To spore ułatwienie, bo nie trzeba sięgać po smartfon, żeby odczytać czy odpisać na SMS.
Na Spider's Web piszemy o różnym możliwym wykorzystaniu kodów QR:
Gorzej, gdy ten dostęp będzie miał inny komputer – choćby cyberprzestępców. Na tym polega przekręt. Ofiary skanują kod myśląc, że aktywują jakąś opcję bądź zatwierdzają transakcję, a tymczasem wiążą swój telefon z urządzeniem oszustów. I dzięki temu ci mogą wysyłać SMS-y premium, nabijając rachunek.
Ten rodzaj przekrętu jest coraz bardziej popularny, na co zwracali uwagę w rozmowie ze Spider's Web specjaliści z CERT Allegro:
Do tradycyjnych metod, takich jak fałszywe programy, które się pobiera czy strony wyłudzające dane oraz pieniądze, można dołożyć popularne ostatnio skanowanie kodów QR. Jest to wektor ataku, który powrócił za sprawą chociażby serwisu Discord czy Steam, gdzie zeskanowanie kodu QR umożliwia zalogowanie się. Nie pozostaje nic innego jak uwaga i nie skanowanie podejrzanych kodów QR, przesyłanych przez osoby trzecie lub na przykład przyklejanych na parkomatach.
- CERT Allegro dla Spider's Web.
No właśnie – wcześniej kody QR naklejane były na parkomatach. Przed ich niewłaściwym wykorzystaniem przestrzegała też Poczta Polska. W tamtym przypadku link z kodu QR prowadził do fałszywej strony udającej e-sklep Poczty Polskiej, w którym można kupić kartony, koperty, folie i wypełniacze do przesyłek. Osoba, która skanowała podstawiony kod trafiała na sfałszowaną stronę służącą do wyłudzenia poufnych danych: osobowych oraz tych z karty płatniczej.
Jak się chronić? Zasada jest podobna do tej z linkami, które otrzymujemy w wiadomościach – nie reagować. Opisywany przez policję przypadek pokazuje, jak ważna jest cyfrowa edukacja młodych ludzi, bo to właśnie nastolatkowie mogą być ofiarami takich działań. Dlatego to na rodzicach spoczywa odpowiedzialność – niedawno wraz z ekspertami wyjaśnialiśmy, na co zwracać uwagę w kwestiach cyberbezpieczeństwa.