Uwaga na podrabiane kody QR. Tak kradną dane m.in. na krakowskich parkomatach

W ten sposób oszuści próbowali wyłudzić dane bankowe parkujących w mieście kierowców. I w niektórych przypadkach to się im udało.

- Ze szczególnym rozsądkiem należy podchodzić do QR kodów dostępnych w przestrzeni publicznej. Warto korzystać z płatności np. z wykorzystaniem aplikacji bankowych, które posiadają funkcjonalności takie jak BLIK, opłaty za parking, czy bilet komunikacji miejskiej – mówi Michał Mazur, ekspert cyberbezpieczeństwa w Santander Bank Polska.

Podrobione kody, podrobiona strona

W ub. tygodniu na części krakowskich parkometrów pojawiły się naklejki zachęcające do opłacenia parkowania z wykorzystaniem zamieszczonych na nich kodów QR.

Od razu było wiadomo, że to oszustwo, bo za pozostawienie auta w strefie w Obszarze Płatnego Parkowania w stolicy Małopolski można zapłacić w specjalnym urządzeniu kupując specjalny bilet czy też nabywając go za pomocą aplikacji.

Umożliwiają to: skycash, anypark.pl, mobilet, mpay, electronicparking, cityparkapp, flowbird, mka.malopolska.

Były osoby, które dały się oszukać. – Obywatelka Łowy wchodząc na za pomocą tego kodu na stronę podobną do tej prowadzonej przez Zarząd Dróg Miasta Krakwa straciła 300 zł z konta. Ktoś danymi z jej karty zapłacił za obiad w restauracji – mówi mł. insp. Sebastian Gleń, rzecznik małopolskiej policji.

Poza tym oszuści próbowali danymi karty obywatelki Niemiec, która dała się nabrać na fałszywą stronę zrobić zakupy w sklepie z elektroniką znanej firmy .Na szczęście ta transakcja została odrzucona.

- Zaraz po informacji z Zarządu Dróg Miasta Krakowa przeprowadziliśmy oględziny naklejek. Zablokowana została podrobiona strona operatora parkometrów. Wszczęliśmy postępowanie w sprawie oszustwa – mówi policjant.

Naklejki już poznikały z krakowskich ulic, a tamtejsza policja szuka sprawcy oszustwa przeglądając monitoring, czy przesłuchując świadków. Na razie nikogo nie zatrzymano w tej sprawie.

Dokąd prowadzi ten kod?

Czy podrabiane kody QR mogą być niebezpieczne dla naszych finansów osobistych?

- Przy korzystaniu z QR kodów należy zachować ostrożność, ponieważ, podobnie jak w przypadku tzw. „skróconych linków” trudno stwierdzić na pierwszy rzut oka, do jakiej strony nas prowadzą – mówi Michał Mazur, ekspert cyberbezpieczeństwa w Santander Bank Polska.

Przyznaje, że bank analizując zagrożenia widzi, że podejrzane QR-kody to jeden ze scenariuszy wykorzystywanych przez przestępców i radzi, że dlatego zawsze trzeba sprawdzać adresy stron, do których przekierowuje dany QR kod, szczególnie jeśli mamy na niej podać swoje dane np. karty płatniczej.

A Piotr Miernikiewicz, ekspert ds. Bezpieczeństwa Informacji w Credit Agricole mówi, że ten bank zawsze przestrzega klientów przed wchodzeniem na strony podejrzane, a nawet takie, które nie były im wcześniej znane, gdzie trafili po raz pierwszy, a mieliby tam podać swoje dane osobowe, podać dane karty płatniczej czy w inny sposób dokonać płatności.

- Warto pamiętać, że QR kod to tylko jeden ze sposobów dostarczenia użytkownikowi właśnie linku do strony, na którą podobno ma wejść, aby na przykład - tak jak w tym przypadku - wykonać płatność – tłumaczy ekspert.

Dodaje, że QR kod jest dodatkowo niepewny, bo ze względu na swoją specyfikę (kod graficzny), zanim go nie zeskanujemy smartfonem, to nie wiemy dokąd prowadzi, jaki jest adres docelowej strony.

- Tym samym zawsze warto traktować taki kod z nieufnością i bardzo dokładnie sprawdzać gdzie zostaliśmy przeniesieni (adres strony, jej wygląd i zabezpieczenia). I robić to zawsze, niezależnie od tego, czy kod był wyświetlony na stronie w internecie, wydrukowany na ulotce w sklepie, czy – tak jak tutaj – naklejony na parkomacie – mówi Piotr Miernikiewicz.

Jego zdaniem jest to ważne, bo czasem zapominamy, że okoliczności, w jakich ten kod został nam wyświetlony może nie mieć nic wspólnego z docelowym adresem.

- Czy jeśli sczytujemy kod naklejony na parkomacie, to znaczy, że jest w 100 proc. pewny i związany wyłącznie z opłatą za parking? Oczywiście nie, zawsze musimy to dokładnie sprawdzić, a opisywana w mediach sytuacja tylko to potwierdza –podkreśla ekspert.

Piotr Miernikiewicz radzi, że jeśli mamy jakiekolwiek wątpliwości, bo albo nie wiemy jak taki kod lub link sprawdzić, albo coś nas niepokoi w jego wyglądzie (naklejka) lub sposobie dostarczenia (podejrzany mail) to wtedy zawsze interpretujmy to na niekorzyść, czyli tutaj - rezygnujemy z takiego sposobu płatności i płacimy w inny, znany nam sposób – dodaje.

Ekspert podkreśla też, że QR kod to tylko link, którego wiarygodność zawsze musimy zweryfikować. I tym dokładniej, im poważniejsze są dane do wprowadzenia lub operacje wykonywane na stronie, na którą prowadzi.

To nie pierwszy taki przypadek

Krzysztof Kurek, z banku Millennium mówi, że jego bank nie otrzymał zgłoszeń dotyczących wykorzystania kodów QR do rzekomego opłacania możliwości parkowania w jednym z miast.

- W przeszłości zdarzały się już przypadki wykorzystania kodów QR do phishingu, gdzie cyberprzestępcy próbowali wyłudzić dane logowania do bankowości internetowej – wspomina Krzysztof Kurek.

Podkreśla, że dla Bank Millennium kwestie bezpieczeństwa traktuje priorytetowo. Prowadzi szereg akcji edukacyjnych oraz kampanii informacyjnych, które mają za zadanie uczulić klientów na podejrzaną aktywność cyberprzestępców.

- Zawsze apelujemy do klientów o zachowanie czujności i przestrzeganie zasad bezpiecznego bankowania. Przygotowaliśmy m.in. specjalne quizy, które pozwalają użytkownikom sprawdzić swoją wiedzę na temat podstawowych metod wykorzystywanych przez oszustów – mówi Krzysztof Kurek.

Przypomina, że bank Millennium jako jeden z pierwszych wprowadził w swojej aplikacji mobilnej możliwość weryfikacji rozmowy telefonicznej z konsultantem banku. 

Mł. insp. Gleń: - Nie kojarzę by w Małopolsce wcześniej doszło do podobnego przypadku oszustwa z wykorzystaniem kodu QR.