Pametni telefoni so olajšali vrsto prevare, ki vas lahko hitro stane precej denarja. Voznik priključi avtomobil na polnilnico ali parkira ob cesti, skenira QR kodo in vpiše podatke kartice. Storitev se ne zažene. Z bančnega računa pa kmalu izgine več sto evrov.
Zločin z navadno nalepko
Napad, znan kot “quishing” ali phishing s QR kodami, ne zahteva zapletenega vdiranja v sisteme. Kriminalci natisnejo nalepke z zlonamernimi QR kodami in jih prilepijo čez prave na parkirnih avtomatih, polnilnicah ali jedilnikih. Črno-belega mozaika s prostim očesom ni mogoče prebrati. Zato prevara deluje.
Ljudje so se navadili plačevati storitve z usmeritvijo kamere v črno-beli kvadrat. Zaradi te navade smo na javnih mestih postali manj previdni.
Varnost na spletu je dolgo pomenila predvsem obrambo pred sumljivimi e-sporočili in priponkami. Uporabniki so se naučili ignorirati lažna sporočila poštne dostave. Fizični svet pa je drugačen. Ko je koda zalepljena na uradnem parkirnem avtomatu, ljudje redko podvomijo.
Korak za korakom do praznega računa
Postopek je hiter. Kamera prepozna kodo in odpre spletno stran, ki je na videz enaka uradni. Logotipi, barve in droben tisk se ujemajo z originalnim ponudnikom.
Za pripravo napada ni potrebno veliko časa ali znanja programiranja. Z dostopnimi orodji storilci hitro preslikajo podobo legitimne strani. Registrirajo domeno, ki se od prave razlikuje morda le v eni črki, in postavijo lažni plačilni portal.
Na lažni strani žrtev vpiše ime, številko kartice in varnostno kodo. Ti podatki gredo takoj na strežnik napadalcev. Včasih se nato prikaže sporočilo o napaki, v določenih primerih pa stran preusmeri na pravo aplikacijo, da žrtev ne bi takoj posumila.
Kritičnih deset minut
Običajno posumimo šele, ko storitev ni opravljena. Parkirni listek se ne natisne, polnilnica ne dela ali aplikacija zahteva ponovno prijavo. Takrat je pomembno hitro ukrepanje.
Napadalci podatkov ne vpisujejo ročno. Uporabljajo avtomatizirane skripte, ki takoj preverijo veljavnost kartice. Najprej izvedejo manjše transakcije, ki ne zahtevajo potrditve v bančni aplikaciji. Če so uspešne, nadaljujejo z nakupi darilnih kartic ali kriptovalut.
Nujni koraki ob sumu zlorabe
Če posumite, da ste skenirali napačno kodo, ukrepajte takoj:
- Prek mobilne banke takoj zaklenite kreditno ali debetno kartico. S tem boste preprečili nadaljnje transakcije.
- Pokličite dežurno številko banke. Operaterji lahko zaustavijo plačila, ki so še v teku.
- Fotografirajte prelepljeno QR kodo. Naredite tudi posnetek zaslona lažne spletne strani, kar bo precej olajšalo prijavo policiji.
Ne čakajte na naslednji dan in ne zanašajte se na to, da gre le za tehnično napako stroja. Transakcije si hitro sledijo. Ko je denar pretvorjen v kriptovalute, so možnosti za vračilo majhne.
Fizični preizkus pred skeniranjem
Pred skeniranjem katerekoli kode na javnem mestu preprosto potegnite s prstom po površini. Če zatipate debelo nalepko čez originalno plastiko ali kovino, kode raje ne skenirajte.
Pametni telefoni pred odpiranjem strani prikažejo spletni naslov. Če povezava na parkirnem avtomatu vodi na nenavadno domeno z naključnimi znaki namesto na stran javnega podjetja, jo zaprite. Najbolj zanesljiva varnost na spletu pri tovrstnih plačilih je ročen vnos naslova ali uporaba uradne aplikacije.
