Felismerhető és elkerülhető – így védekezhetünk a QR-kódos csalás ellen

A QR-kódos visszaváltási rendszer bevezetése óta Magyarországon is megszokott látvány, hogy az emberek okostelefonjukkal olvassák be a kódot a visszaváltóautomatáknál vagy az applikációkban. Ez a rutinszerűség azonban pontosan az, amit a csalók ki akarnak használni. Az úgynevezett „quishing” – vagyis QR-kód alapú adathalászat – egyre elterjedtebb módszer, és most már a visszaváltási folyamatot is célba vette.

A módszer veszélye éppen az egyszerűségében rejlik: megszoktuk, hogy a QR-kód gyors és megbízható megoldás.
A módszer veszélye éppen az egyszerűségében rejlik: megszoktuk, hogy a QR-kód gyors és megbízható megoldás.

A módszer lényege egyszerű: a csalók egy hamis QR-kódot helyeznek el ott, ahol az eredetinek kellene lennie – visszaváltóautomatákon, szórólapokon, sőt e-mailekben is –, és a gyanútlan felhasználó egy adathalász oldalra kerül, ahol személyes adatait vagy banki információit kérik el tőle.

Hogyan működik a QR-kódos csalás a gyakorlatban?

A leggyakoribb módszerek, amelyekkel visszaélnek a QR-kódokkal:

  • A fizikai QR-kód felülragasztása az egyik legelterjedtebb technika. A csalók kinyomtatják a saját, hamis QR-kódjukat, és egy matricával lefedik az eredeti kódot – például egy visszaváltóautomatán, egy parkolóoszlopon vagy egy étterem asztalán. Kívülről semmi gyanúsat nem látunk, a kód beolvasása után azonban egy megtévesztően valódinak tűnő, de hamis weboldalra kerülünk, amely személyes adatokat, bejelentkezési információkat vagy bankkártyaadatokat kér.
  • A visszaváltási rendszert célzó átverések különösen ravaszak, mert a felhasználók pénzt várnak a folyamat végén. A csalók azonban a saját QR-kódjukat ragasztják az automata beolvasó nyílása elé, így az üvegek árát az ő számlájukra utalja a cég.
  • Az e-mailben és üzenetekben érkező hamis QR-kódok szintén komoly veszélyt jelentenek. Ezek általában hivatalosnak tűnő levélben érkeznek – például egy visszaváltási rendszer nevében –, és sürgős cselekvésre szólítanak fel. A beolvasás után megjelenő oldal azonban adathalász célt szolgál.

Hogyan védekezhetünk a QR-kódos csalás ellen?

Az első és legfontosabb szabály: mindig nézzük meg a QR-kód beolvasása után megjelenő webcímet, mielőtt bármit tennénk az oldalon. A legtöbb okostelefon megmutatja az URL-t, mielőtt megnyitná – ha az eltér az elvárt hivatalos webcímtől, ne folytassuk. Fizikai QR-kódok esetén érdemes megnézni, hogy a kód nem takar-e egy másik kódot alatta – egy matrica széle sokszor látható. Ha visszaváltási rendszerrel kapcsolatos QR-kódot olvasunk be, mindig ellenőrizzük, hogy a megjelenő oldal valóban a hivatalos platform – a visszaváltó.hu vagy a gyártó saját appja – és ne adjunk meg banki adatokat semmilyen felugró oldalon.

Írta az origo.hu