Aktualita

Podvodníci našli nový spôsob, ako vás obrať o peniaze – a stačí im na to jeden QR kód

Quishing je nový podvod zneužívajúci QR kódy na nabíjačkách elektromobilov. Vodiči môžu prísť o peniaze ešte pred začiatkom nabíjania.

Vydané  Text: 

V dnešnej rýchlej a digitálnej dobe sa podvodníci neštítia ničoho. Nebudeme písať o podvodných e-mailoch ani podvodných aplikáciách na získanie osobných a platobných údajov. Najnovšia hrozba sa týka všetkých vodičov, ktorí jazdia na elektromobiloch. S touto správou pred pár dňami prišla bezpečnostná spoločnosť ESET.

V posledných rokoch mnohé krajiny prechádzajú na elektromobilitu. Napríklad v roku 2023 bolo zaregistrovaných 14 miliónov nových elektrických automobilov. Celkovo tak v danom roku po svete jazdilo vyše 40 miliónov elektromobilov.

A práve toto je oblasť, na ktorú sa aktuálne zamerali zločinecké skupiny. Podľa bezpečnostnej správy firmy ESET podvodníci najnovšie využívajú kombináciu fyzických a digitálnych techník. Ich cieľom je ukradnúť vodičom platobné údaje. Najnovším trikom je QR kód na nabíjacích staniciach.

Ako funguje Quishing?

Quishing je vo svojej podstate phishingom, ale pomocou QR kódov. Phishing je najobľúbenejšia a najpoužívanejšia metóda kyber zločincov na získavanie osobných a platobných údajov od dôverčivých ľudí. Najčastejšie je to formou notifikácii alebo e-mailov. Častokrát sa vydáva za nejakú dôveryhodnú, všeobecne známu inštitúciu ako napríklad polícia, banky, pošta a pod.

V rýchlom vývoji digitálnej doby existuje tak veľa variantov phishingu, že je nemožné na 100 % udržiavať bezpečnosť systémov bez pravidelných a neustálych aktualizácií. Nehovoriac o náročnosti pre políciu, firemné tímy internej bezpečnosti a vládne inštitúcie informovať o takýchto hrozbách širokú verejnosť.

Najnovším príklad tohto je Quishing. Hoci QR kódy sú súčasťou nášho života už od 90. rokov,  do povedomia sa dostal viac až počas covid pandémie. Z hľadiska hygieny boli vtedy QR kódy bežným spôsobom prístupu k najrôznejším informáciám od jedálnych lístkov až po lekárske formuláre. Princípom quishingu je prelepenie originálneho QR kódu falošným. Po naskenovaní tohto „kódu“ sa obeť dostane na podvodnú stránku (ťažko rozoznateľnú od originálnej), kde zadá svoje prihlasovacie údaje alebo osobné informácie, prípadne si „stiahne“ malvér.

Ohrozené elektromobily

A teraz „nastal čas“ na podvody s QR kódmi v oblasti automobilov. Vysoká efektivita získavania informácii od obete pomocou tejto taktiky „motivovala“ zločinov prispôsobiť sa novému ošiaľu okolo elektromobilov. Aktuálne správy zo Spojeného kráľovstva, Francúzska a Nemecka hovoria o prelepovaní originálnych QR kódov na verejných nabíjacích staniciach. Originál je nahradený škodlivým kódom. Podľa správ originál kód presmeruje používateľa na oficiálnu webovú stránku prevádzkovateľa stanice, kde zadá platobné údaje.

Falošný kód sa správa presne ako originál, len platobné údaje získa zločinec alebo zločinecká skupina. Načítanie legitímnej stránky prevádzkovateľa sa podarí až na druhý pokus. Podľa doposiaľ dostupných informácii majú útočníci používať technológiu rušenia signálu, aby prípadná obeť nepoužila nabíjaciu aplikáciu ale QR kód.

Len v rámci Európy sa nachádza približne 600 000 nabíjacích staníc, čo pre zločineckú skupinu znamená obrovské množstvo príležitostí. Nesporným faktom, ktorý hrá tiež v prospech podvodu, je to, že mnohí majitelia elektromobilov sú v tejto oblasti ešte nováčikmi a radšej v rýchlosti naskenujú kód namiesto toho, aby si stiahli oficiálnu aplikáciu na nabíjanie, prípadne zavolali na infolinku.

Overovanie QR kódu

Objavili sa tiež informácie, že podvodníci paktujú aj s parkovacími automatmi prostredníctvom falošných QR kódov. V tomto prípade príde obeť nie len o svoje platobné údaje, ale zároveň dostane ešte pokutu za nezaplatené parkovanie. Preto spoločnosť ESET odporúča overovať QR kódy.

Ako? Najdôležitejšie je „všímať si, či webová stránka, na ktorú vás QR kód presmeruje, obsahuje gramatické alebo pravopisné chyby, prípadne či sa vám na nej niečo nezdá. V takom prípade môže ísť o podvodnú stránku.“ Taktiež väčšina moderných telefónov zobrazuje náhľad pred otvorením URL. Ak sa QR kód otvára automaticky, je odporúčané skontrolovať nastavenia zariadenia alebo fotoaparátu, prípadne zvoliť inú formu platby.

Ďalšie odporúčania spoločnosti za zníženie rizika quishingu:

  • QR kód si pozorne prezrite. Pôsobí, akoby bol prelepený, alebo je súčasťou pôvodného nápisu? Má inú farbu alebo rozdielne písmo ako zvyšok nápisu, alebo sa odlišuje nejakým iným spôsobom? To všetko môžu byť varovné signály a nikdy neskenujte QR kód, ak nie je zobrazený priamo na samotnom termináli nabíjacej stanice či parkovacieho automatu.
  • Zvážte, či nie je lepšie platiť len cez SMS alebo oficiálnu aplikáciu príslušného prevádzkovateľa nabíjacej stanice.
  • Ak sa domnievate, že ste sa stali obeťou podvodu, zablokujte svoju platobnú kartu a nahláste potenciálny podvod svojej banke alebo vydavateľovi karty.
  • Používajte dvojfaktorovú autentifikáciu (2FA) na všetkých účtoch, ktoré ponúkajú túto dodatočnú úroveň ochrany. Táto bezpečnostná vrstva pomôže ochrániť váš účet aj v prípade, že sa podvodníkovi podarí presmerovať vás na falošnú webovú stránku a ukradnúť vaše prihlasovacie údaje.

Najväčší mýtus o jazdenkách, ktorému stále mnohí veria: Počet kilometrov nerozhoduje

Zdroje:  ESET