A QR-kódos visszaváltási rendszer bevezetése óta Magyarországon is megszokott látvány, hogy az emberek okostelefonjukkal olvassák be a kódot a visszaváltóautomatáknál vagy az applikációkban. Ez a rutinszerűség azonban pontosan az, amit a csalók ki akarnak használni. Az úgynevezett „quishing” – vagyis QR-kód alapú adathalászat – egyre elterjedtebb módszer, és most már a visszaváltási folyamatot is célba vette.

A módszer lényege egyszerű: a csalók egy hamis QR-kódot helyeznek el ott, ahol az eredetinek kellene lennie – visszaváltóautomatákon, szórólapokon, sőt e-mailekben is –, és a gyanútlan felhasználó egy adathalász oldalra kerül, ahol személyes adatait vagy banki információit kérik el tőle.
Hogyan működik a QR-kódos csalás a gyakorlatban?
A leggyakoribb módszerek, amelyekkel visszaélnek a QR-kódokkal:
- A fizikai QR-kód felülragasztása az egyik legelterjedtebb technika. A csalók kinyomtatják a saját, hamis QR-kódjukat, és egy matricával lefedik az eredeti kódot – például egy visszaváltóautomatán, egy parkolóoszlopon vagy egy étterem asztalán. Kívülről semmi gyanúsat nem látunk, a kód beolvasása után azonban egy megtévesztően valódinak tűnő, de hamis weboldalra kerülünk, amely személyes adatokat, bejelentkezési információkat vagy bankkártyaadatokat kér.
- A visszaváltási rendszert célzó átverések különösen ravaszak, mert a felhasználók pénzt várnak a folyamat végén. A csalók azonban a saját QR-kódjukat ragasztják az automata beolvasó nyílása elé, így az üvegek árát az ő számlájukra utalja a cég.
- Az e-mailben és üzenetekben érkező hamis QR-kódok szintén komoly veszélyt jelentenek. Ezek általában hivatalosnak tűnő levélben érkeznek – például egy visszaváltási rendszer nevében –, és sürgős cselekvésre szólítanak fel. A beolvasás után megjelenő oldal azonban adathalász célt szolgál.
Hogyan védekezhetünk a QR-kódos csalás ellen?
Az első és legfontosabb szabály: mindig nézzük meg a QR-kód beolvasása után megjelenő webcímet, mielőtt bármit tennénk az oldalon. A legtöbb okostelefon megmutatja az URL-t, mielőtt megnyitná – ha az eltér az elvárt hivatalos webcímtől, ne folytassuk. Fizikai QR-kódok esetén érdemes megnézni, hogy a kód nem takar-e egy másik kódot alatta – egy matrica széle sokszor látható. Ha visszaváltási rendszerrel kapcsolatos QR-kódot olvasunk be, mindig ellenőrizzük, hogy a megjelenő oldal valóban a hivatalos platform – a visszaváltó.hu vagy a gyártó saját appja – és ne adjunk meg banki adatokat semmilyen felugró oldalon.
Írta az origo.hu