Az utóbbi idõben megszaporodtak azok a csalási formák, amely során a támadók QR-kód segítségével lopják el a potenciális áldozatok adatait, vagy akár a pénzüket. Az Azonnali Fizetési Rendszer (AFR2.0) továbbfejlesztésével a banki ügyfelek új fajta fizetési megoldásokkal találkozhatnak majd 2024-ben, miszerint minden pénzforgalmi szolgáltató köteles fizetési kérelmet fogadni és az egységes adatbeviteli szabványt (pl.: QR, NFC, deeplink) alkalmazni.
Hogyan használják a kiberbûnözõk a QR-kódokat?
Az emberek nem tudják elõre, hogy mi fog történni, ha beolvasnak egy QR-kódot, ezért kénytelenek megbízni annak készítõjében. Még akkor sem tudhatjuk, mi mindent tartalmaz egy QR-kód, ha mi magunk készítjük el a sajátunkat. Emiatt a QR-kód nagyon könnyen kihasználható csalás elkövetésére. A QR-kódos csalásként ismert visszaélés során a csalók károkozó QR (Quick Response) kódokat juttatnak el az áldozathoz.
A csalás valójában egy újabb adathalász módszer, amellyel a személyes adatokhoz, illetve bankszámla adatokhoz férnek hozzá. A QR-kódok kódolt adatokat tartalmaznak, és linkként, hivatkozásként mûködnek. A link „mögött” lehet egy hamis weboldal, amivel adatokat akarnak megszerezni tõlünk vagy le is töltõdhet egy káros applikáció az eszközünkre. A csalók QR-kódokat helyeznek el hamis weboldalakon vagy matricákon, és különbözõ trükkökkel arra ösztönzik az embereket, hogy azokat olvassák be a telefonjaikkal. Nem ritka, hogy a támadók legitim felek munkájára és hírnevére támaszkodnak, és hivatalos plakátokon, posztereken vagy szórólapokon lévõ törvényes QR-kódot a sajátjukra cserélik.
A kiberbûnözõk által létrehozott QR-kód egy adathalász webhelyre mutat, ezek a hamis oldalak megtévesztésig hasonlítanak például egy online bank bejelentkezési oldalára vagy fizetési szolgáltatók bejelentkezõ oldalaira. Amennyiben az áldozatok ezen bejelentkeznek könnyen elveszíthetik pénzüket vagy érzékeny adataikat.
A Magyar Nemzeti Bank készített egy weboldalt, ahol a fizetési kérelmek beolvasásával annak részleteit
tekinthetjük meg. (https://mnbqr.hu/)
Íme néhány tipp a QR-kódos csalások elkerüléséhez, amellyel megvédhetjük magunkat a kiberbûnözõktõl:
Általánosságban véve, ugyanazok a tanácsok érvényesek a QR-kódos csalásra, mint az adathalászatra, hiszen mindkettõ adathalászat.
- A kétlépcsõs azonosítás vagy ha lehetõség van rá, biometrikus azonosítás használata sok csalási formától megóvhat minket!
- Legyünk óvatosak, mielõtt eszközünkkel beolvasunk egy QR-kódot!
- A legtöbb QR-kód egy vagy több URL-t tartalmaz, amelyek beolvasáskor
- Figyeljünk a kód beolvasásakor megjelenõ linkekre! Apple eszközön, a kamera alkalmazásnál a jobb oldalon megjelenõ ikonra koppintva megtekinthetõ a link. A Google Lens használatával a képernyõ közepén feltünteti a hivatkozást. felbukkannak a képernyõ. Az URL biztonságának vizsgálatakor tudnunk kell, hogy mindenképp rendelkeznie kell a „https” protokollal a hivatkozás címének elején. A domain névnek meg kell egyeznie a QR-kódot hirdetõ márkával vagy cégnévvel. A webhelynek ugyanolyan tartalommal kell rendelkeznie, mint a plakáton hirdetett tartalmaknak. Ha a céloldalon egy bejelentkezési ûrlap jelenik meg, amely közvetlenül kéri személyes vagy banki adatainkat, jelszavainkat, akkor semmiképp se adjuk meg ezeket, hanem azonnal zárjuk be az oldalt!
- Különösen akkor legyünk óvatosak, ha az URL-t lerövidítették, mert a QR-kódok esetében nincs kényszerítõ ok arra, hogy bármilyen linket lerövidítsenek. Ehelyett használjon keresõmotort vagy hivatalos weboldalt!
- Óvjuk a telefonunkat víruskeresõ telepítésével! A víruskeresõ minden alkalommal értesítést küld, ha rosszindulatú QR-kódot olvas be, vagy egy URL-hez fér hozzá. Megkímélhet minket attól, hogy rosszindulatú programok kerüljenek az eszközünkre, különösen, ha véletlenül egy spam hivatkozásra kattintunk.
- Mérjük fel a QR-kód helyét! Hol található a QR-kód? Egy jól ismert létesítményben van, vagy az utcán, ahol bárki hozzáférhet? Milyen anyagra nyomtatták?
- A csalók hajlamosak QR-kód matricákat ragasztani egy meglévõ QR-kód képhez, hogy becsapják áldozataikat. A nyilvános környezetben lévõ QR-kódokat könnyebb manipulálni, ezért mindig legyünk fokozottan óvatosak, mielõtt beolvassuk ezeket! A plakáton vagy táblán lévõ QR-kód beolvasása elõtt végezzünk gyors fizikai ellenõrzést, hogy megbizonyosodjon arról, hogy a kódot nem ragasztották-e az eredeti képre!
- A QR-kód hitelességének ellenõrzéséhez figyeljük meg az apró részleteket! Például egy számos nyelvtani hibát és elrendezést tartalmazó poszter valószínûleg nem megbízható.
- Ne olvassuk be a nyilvánvalóan gyanús forrásból származó QR-kódokat!
- A QR-kódok értékes információkat, például e-jegyek számát is tartalmazhatják, ezért soha ne tegyünk közzé QR-kóddal ellátott dokumentumokat a közösségi médiában.
További érdekes információk és elkerülendõ példák találhatók a Nemzeti Kibervédelmi Intézet tájékoztató füzetében: https://nki.gov.hu/wp-content/uploads/2023/12/QR-kodos-csalasok.pdf
FORRÁS: KIBERPAJZS
https://kiberpajzs.hu/hirek/mire-kell-figyelni-hogy-elkeruljuk-a-qr-kodos-csalasokat-tippek-es-tanacsok
