Kody QR możesz znaleźć na przykład w komunikacji miejskiej, urzędach, taksówkach, reklamach na przystankach, parkomatach, menu restauracji, ulotkach oraz stronach WWW dostawców usług. Kody QR pozwalają uzyskać dostęp do stron internetowych, sklepów z aplikacjami lub umożliwiają szybkie podłączenie się do sieci Wi-Fi.

Możliwości kodów QR wykorzystywane są także przez przestępców, którzy:

• zamieszczają kody QR na specjalnie przygotowanych materiałach lub
• wklejają lub wstawiają odpowiednio spreparowany kod QR na oficjalnych materiałach prowadzących do źródeł informacji.

Takie działanie nazywamy QRishingiem - jest to forma phishingu, w którym hakerzy wykorzystują kody QR w celu:

• kradzieży informacji (zazwyczaj identyfikatora i hasła lub danych kartowych),
• zainstalowania na urządzeniu złośliwego oprogramowania,
• skierowania odbiorcy kodu QR na niebezpieczną stronę internetową.

Dlaczego QRishing jest niebezpieczny?
 

• kody QR zazwyczaj nie są wykrywane przez systemy antyphishingowe jako niebezpieczne linki zawarte w wiadomościach,
• kody QR mogą być ukryte w innych obrazach lub np. w dokumentach PDF w załączniku,
• kod QR umożliwia szybszą realizację niektórych procedur, a osoba korzystająca z kodu otrzymuje mniej szczegółów dotyczących podejmowanych działań,
• szkolenia z bezpieczeństwa są zwykle nastawione na unikanie klikania w linki więc czynność skanowania kodu QR zazwyczaj nie jest wiązana przez użytkowników z potencjalnym zagrożeniem.

Jak się zabezpieczyć?
 

• kody QR bywają niebezpieczne w różnych sytuacjach, a nie tylko podczas korzystania z usług dostępnych w internecie,
• do wszystkich kodów QR należy podchodzić z ostrożnością – tak jak do zawartego w wiadomości e-mail „skróconego” linku, w którym na pierwszy rzut oka nie widać, dokąd zostaniemy przekierowani,
• wynikiem zeskanowania kodu QR może być przekierowanie na stronę, która jedynie udaje oficjalne źródło informacji,
• skorzystanie ze spreparowanego kodu QR nie zawsze musi być związane z natychmiastową utratą środków pieniężnych – dla przestępców równie cenne są dane podawane przez atakowanych na podstawionych fałszywych stronach,
• wszelkie zachęty w postaci otrzymania korzystnego rabatu na usługę lub gratisu po zeskanowaniu kodu QR i zainstalowaniu aplikacji lub realizacji transakcji na podstawionej stronie www, należy traktować jako przesłankę wskazującą na próbę ataku,
• należy zablokować domyślny dostęp do kamery dla zewnętrznych aplikacji – dostęp do kamery powinien być nadawany wyłącznie w wyniku świadomego działania użytkownika,
• należy uruchamiać kamerę wyłącznie w momencie wykonywania zdjęć – aktywny aparat w miejscach publicznych może sam zaproponować zeskanowanie kodu QR,
• należy aktualizować oprogramowanie zainstalowane na urządzeniu mobilnym – systemowe i zainstalowane aplikacje,
• nie należy realizować płatności na dowolnej platformie oraz podawać danych logowania na stronie, do której dostęp nastąpił za pomocą kodu QR,
• przed skorzystaniem z kodu QR zamieszczonego w przestrzeni publicznej pozornego zaufania (np. urząd, bank, restauracja) sprawdź czy nie został on zasłonięty naklejonym, spreparowanym kodem QR,
• zanim przejdziesz do strony kierującej z kodu QR, sprawdź jaka domena jest wyświetlana w podglądzie – jeśli jest błędna lub wzbudza ona Twoje podejrzenia, nie otwieraj strony.

Co zrobić, gdy zorientujemy się, że padliśmy ofiarą oszustwa?
 

1. Jak najszybciej poinformuj bank, w którym prowadzony jest Twój rachunek bądź karta płatnicza – zadzwoń na numer 19 502.
2. Zgłoś incydent na policji.
3. Ostrzeż innych. Poinformuj bliskich i znajomych – zwłaszcza jeżeli utraciłeś identyfikatory i hasła.