Skenirate li QR kodove na javnim mjestima? Vrlo su zgodni za otvaranje poveznica i plaćanje, ali mogu biti i vrlo opasni. Evo kako vas skeniranje QR koda može stajati tisuće i kako to izbjeći.

Quishing

Quishing je kada prevarant ukrade identitet putem QR koda, koji se aktivira kada ga skenirate. Ovaj opasni oblik krađe identiteta bilježi značajan porast broja žrtava diljem svijeta.

Quishing je opasan jer većina ne shvaća pretjerano ozbiljno skeniranje QR kodova. Vjerojato ćemo samo slijepo slijediti upute QR koda i otići na bilo koji URL ili uslugu na koju kod vodi. To omogućuje prevarantima da napadnu. Prevarant proučava web stranicu na koju vodi QR kod, stvara repliku, a zatim zamjenjuje legitimni QR kod svojim i usmjerava na kloniranu web stranicu. Kada žrtva skenira lažni QR kod, on je odvodi na lažnu web stranicu koja traži osobne podatke, uključujući podatke o plaćanju. Nakon što ih se prevaranti dočepaju, mogu obaviti kupnju koristeći bankovni račun žrtve, objašnjavaju na Make Use Of.

Kako funkcioniraju prevare QR kodom?

Možda vam krađa putem QR koda još uvijek zvuči kao znanstvena fantastika, ali u velikoj mjeri, to je ipak stvarnost.

1. Napadi na parkirni sat i punjač

Neki mjerači parkiranja automobila i mjesta za punjenje telefona koriste QR kodove kao dio postupka plaćanja. Da biste platili naknadu, skenirate kod koji vas usmjerava na web mjesto za plaćanje ili aplikaciju za preuzimanje.

Prevaranti otimaju te QR kodove lijepeći svoju zlonamjernu verziju preko originala. Kad netko ode platiti parking ili punjač, skenira aplikaciju, unese podatke o plaćanju na lažnu web stranicu ili aplikaciju i nesvjesno ih pošalje prevarantima.

2. Napadi e-poštom

Ponekad će prevaranti poslati e-poruku s priloženim QR kodom. Prevarant će vas uvjeriti da ga skenirate; na primjer, mogli biste pomisliti da je riječ o važnoj aplikaciji ili o tome da policija traži plaćanje neke kazne. Kada žrtva skenira QR kod, vodi je do lažne web stranice ili aplikacije koja traži podatke o njezinoj kreditnoj kartici.

HP Threat Research izvijestio je da je ova metoda napada doživjela skok u Kini još 2022., i to mailom u kojemu se tvrdi da primatelj ima pravo na vladinu potporu. Od korisnika su se tražili podaci o kreditnoj kartici, uključujući pojedinosti o trenutnom stanju na računu.

3. Generatori lažnih QR kodova

U nekim slučajevima prevarant postavlja lažni generator QR koda kako bi prevario ljude.

BitDefender je izvijestio o primjeru gdje je nekoliko web stranica postavilo generatore lažnih QR kodova za Bitcoin novčanike. Web stranica je tražila od korisnika ID novčanika i obećala da će generirati QR kod koji bi primatelji mogli lako skenirati i upotrijebiti dok je, u stvarnosti, kod vodio na vlastiti Bitcoin novčanik prevaranta.

