Upozorenje FBI-a: Lopovi koriste lažne QR kodove da ukradu vaše lozinke i novac

QR kodovi

19 siječnja, 2022

Dok su se kompanije tokom pandemije okretale QR kodovima za beskontaktna plaćanja, prevaranti su uhvatili trend krađe gotovine i finansijskih akreditiva.

QR kodovi su korisne prečice do internetskih resursa putem kamere telefona, ali prevaranti sada manipuliraju njima kako bi usmjerili žrtve na phishing stranice i prevare s kriptovalutama.

QR ili 'Quick Response' kodovi povezuju skenere sa stvarnim objektima od 1990-ih, ali su bili široko prihvaćeni tokom pandemije jer su kompanije prešle na beskontaktnu komunikaciju i plaćanje putem QR kodova na jelovnicima restorana, parking metara i drugih javni prostora

Ali prevaranti sada ciljaju na povećanu upoznatost QR koda tako što mijenjaju pikselizirane bar kodove i preusmjeravaju žrtve na stranice koje kradu prijave i finansijske informacije, prema upozorenju FBI-a.

VIDI: Vašu obuku iz sajber sigurnosti treba poboljšati jer se hakerski napadi samo pogoršavaju

"Preduzeća legitimno koriste QR kodove kako bi omogućila zgodan beskontaktni pristup i češće su ih koristila tokom pandemije COVID-19. Međutim, sajber kriminalci koriste ovu tehnologiju usmjeravajući skeniranje QR kodova na zlonamjerne stranice kako bi ukrali podatke o žrtvama, ugrađujući zlonamjerni softver kako bi dobili pristup uređaju žrtve i preusmjeravanje plaćanja za korištenje cyber kriminala“, navodi FBI u svom upozorenju.

Ne navodi nijedan nedavni primjer QR prijevara, ali prati upotrebu QR kodova u phishing e-porukama za krađu Microsoft 365 vjerodajnica u oktobru. QR kodovi su bili korisni napadačima jer su slike barkodova zaobišle filtere e-pošte koji koriste URL skenere za blokiranje zlonamjernih veza.

FBI je u oktobru saopštio da je nedavno počeo da prima izveštaje o korišćenju zlonamernih QR kodova, posebno u prevarama sa kriptovalutama. "Kripto transakcije se često vrše putem QR kodova povezanih s kripto računima… što ove transakcije lako označava", napominje FBI.

"Ne skenirajte nasumično pronađen QR kod", upozorio je FBI.

Ars Technica je izvijestila o prevarantima koji stavljaju lažne naljepnice s QR kodom na parking u većim gradovima Teksasa. Oni su imali za cilj da prevare ljude da plate parking na lažnoj web stranici. Element socijalnog inženjeringa bio je da terminali sa brojilom parkinga danas često imaju znakove sa QR kodovima koji upućuju korisnike na aplikaciju za plaćanje parkinga koja nije gradska, treće strane.

Upozorenje FBI-a se bavi i ovom vrstom prijevare: "Poduzeće pruža klijentima QR kod koji ih usmjerava na stranicu na kojoj mogu izvršiti platnu transakciju. Međutim, cyber kriminalac može zamijeniti namjeravani kod neovlaštenim QR kodom i preusmjeriti pošiljaočevo plaćanje za korišćenje u sajber kriminalu."

QR kodovi također mogu učitati zlonamjerni softver za krađu finansijskih informacija, a zatim povući sredstva sa računa žrtava, upozorava FBI.

Postoje paralele između krađe e-pošte i zlonamjernih QR kodova zaglavljenih na javnim mjestima. Kako ljudi znaju kome da veruju? Obuka o cyber svijesti zaposlenika obično govori korisnicima da ne klikaju na linkove iz neželjene e-pošte, ali ipak to čine.

Neki od savjeta FBI-a za samoodbranu upozoravaju da se ne slijedi uobičajena praksa pri korištenju QR koda, ali opća poruka je da budete oprezni kada unosite informacije s web stranice kojoj se pristupa putem QR koda.

"Službe za provođenje zakona ne mogu garantirati povrat izgubljenih sredstava nakon transfera", upozorava se.

Savjeti FBI-a za korisnike pametnih telefona uključuju: provjerite URL nakon skeniranja QR koda jer URL može izgledati kao legitimna stranica; budite oprezni kada unosite vjerodajnice ili finansijske informacije na web-lokaciju posjećenu putem QR koda; izbjegavajte preuzimanje aplikacije iz QR koda i umjesto toga koristite službenu trgovinu aplikacija; i pozovite organizaciju ako je poslala račun e-poštom, omogućavajući plaćanje putem QR koda kako biste provjerili njegovu autentičnost.

Također, nemojte preuzimati skener QR kodova jer većina telefona ima jedan ugrađen u kameru. (iPhone je dobio jedan 2011. godine u iOS-u 11, a proizvođači Androida brzo su ga slijedili.)

Konačno, izbjegavajte plaćanje putem web-lokacije na koju se navigira putem QR koda, upozorava FBI. Umjesto toga, ručno unesite poznatu i pouzdanu URL adresu da dovršite plaćanje.