Kupujesz na Vinted? Uważaj na fałszywe kody QR

CSIRT KNF ostrzega przed kolejnym oszustwem. Tym razem narażeni na nie są użytkownicy serwisu Vinted, choć nie ma pewności, czy jakiekolwiek inne kody QR, które mogą być wysyłane do Was przez fałszywe firmy nie są niebezpieczne.

- Cyberprzestępcy przygotowali nowy schemat oszustwa na kupującego. Aby dokonać płatności wymagają użycia kodu QR, gdzie w dalszym etapie zostajemy przekierowani do fałszywej strony banku. Pamiętajcie, że za pomocą kodów QR można w łatwy sposób zamaskować niebezpieczne linki! W tym przypadku oszuści podszywają się pod portal ogłoszeniowy @vinted. Po wejściu na fałszywą stronę "odbioru środków" wymagane jest od użytkownika zeskanowanie Kodu QR. Użycie go przekierowuje na fałszywą stronę banku. Bądźcie czujni! – alarmuje CSIRT KNF.

Cyberprzestępcy szukają różnych rozwiązań, aby zaatakować użytkowników sieci i pobrać od nich dane. Rok 2021 był rekordowy pod względem liczby przeprowadzonych na świecie cyberataków. Wzrosty dotyczą wielu kategorii incydentów związanych z cyberbezpieczeństwem. Między innymi właśnie quishing.

Czym jest quishing?

Czym w zasadzie jest quishing? To atak przygotowany przez cyberprzestępców pod postacią odpowiednie spreparowanych kodów QR, wykorzystywanych w wiadomościach phishingowych wysyłanych za pomocą poczty e-mail. Niczego nieświadomy konsument otwierając taką wiadomość widzi w miarę wiarygodną treść e-maila wraz z kodem QR np. prowadzącym do płatności czy tez odbioru nagrody. Oczywiście jest to tylko podstęp, aby użytkownik sieci za pośrednictwem telefonu zeskanować fałszywy kod QR a następnie pobrać czy to zainfekowany plik, czy zostać przekierowanym na fałszywą stronę banku, firmy, instytucji.

Masz Netflix „na spółkę”, zapłacisz więcej. Współdzielenie konta dodatkowo płatne?Michał Górecki

W ten sposób można stracić dane osobowe, a nawet pieniądze jeśli uwierzymy, że za pomocą kodu QR możemy np. coś taniej kupić lub zalogować się na stronę banku.

Quishing a phishing – jaka jest różnica?

Phishing to jeden z najpopularniejszych typów ataków opartych o wiadomości e-mail lub SMS. Wykorzystuje inżynierię społeczną, czyli technikę polegającą na tym, że przestępcy internetowi próbują Cię oszukać i spowodować, abyś podjął działanie zgodnie z ich zamierzeniami. Cyberprzestępcy podszywając się m.in. pod firmy kurierskie, urzędy administracji, operatorów telekomunikacyjnych, czy nawet naszych znajomych, starają się wyłudzić nasze dane do logowania np. do kont bankowych lub używanych przez nas kont społecznościowych, czy systemów biznesowych.

Nazwa phishing budzi dźwiękowe skojarzenia z fishingiem – czyli łowieniem ryb. Przestępcy, podobnie jak wędkarze, stosują bowiem odpowiednio przygotowaną „przynętę”. Do tego wykorzystują najczęściej sfałszowane e-maile i SMS-y. Coraz częściej oszuści działają także za pośrednictwem komunikatorów i portali społecznościowych (np. poprzez „metodę na Blika”). 

Wiadomości phishingowe są tak przygotowywane przez cyberprzestępców, aby wyglądały na autentyczne, ale w rzeczywistości są fałszywe. Mogą próbować skłonić Cię do ujawnienia poufnych informacji, zawierać link do strony internetowej rozprzestrzeniającej szkodliwe oprogramowanie (często przestępcy używają podobnych do autentycznych nazw witryn) lub mieć zainfekowany załącznik. 

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.