Většina z nás už má zažito, že klikat na odkazy nebo spouštět soubory z nevyžádané komunikace je velmi riskantní. Přemýšlíme tak ale i při skenování QR kódu? QR kódy jsou přitom daleko náchylnější ke zneužití – jsou na každém kroku a veřejně přístupné. A největším rizikem jsou pro naši peněženku.

Jak útočníci zneužívají QR kódy ke krádeži našich peněz?

1. Přesměrují nás na škodlivé webové stránky

Phishing, tedy zasílání podvodných odkazů e-mailem nebo zprávami v chatovacích aplikacích či přes SMS, již dobře známe. Útočníci nás ale mohou přesměrovat na podvodné stránky i prostřednictvím QR kódů. Zvlášť nebezpečné je to v případě, pokud jsou kódy umístěny na frekventovaných a snadno dostupných místech, jako jsou například lampy veřejného osvětlení, nebo v blízkosti bank či jiných finančních institucí, kde uvěříme, že jsou důvěryhodné.

V jednom z nedávných případů z USA podvodníci umístili podvodné nálepky s QR kódy na veřejné parkovací automaty v několika městech v Texasu a nasměrovali lidi na falešné platební brány. Pokud uživatelé kódy naskenovali a na zobrazených webových stránkách zadali platební údaje, dali útočníkům do rukou klíče ke svým účtům.

🚨Scam Alert🚨
APD Financial Crimes detectives are investigating after fraudulent QR code stickers were discovered on City of Austin public parking meters. People attempting to pay for parking using those QR codes may have been directed to a fraudulent website and made a payment. pic.twitter.com/Gb8gytCYn7

— Austin Police Department (@Austin_Police) January 3, 2022

2. Podvodem nás přinutí ke stažení škodlivého souboru nebo aplikace

Mnoho barů a restaurací používá QR kódy ke stažení jídelního lístku ve formátu PDF nebo k instalaci aplikace, která umožní objednávat jídlo a pití. Útočníci mohou kód snadno zfalšovat a pokusit se přimět oběť ke stažení škodlivého PDF souboru nebo podvodné mobilní aplikace. Ty mohou obsahovat třeba bankovní malware.

3. Spustí přes QR kód akci v našem zařízení

QR kódy mohou spouštět akce přímo v zařízení. Tyto akce pak závisí na aplikaci, která je čte. A také tato aplikace může být falešná a nastrčená podvodníky.

Existuje několik základních akcí, které je schopna spustit každá základní čtečka QR kódů. Patří mezi ně například připojení zařízení k síti Wi-Fi, odeslání e-mailu nebo zprávy SMS s předem daným textem nebo uložení kontaktních údajů do zařízení. Všechny tyto aktivity mohou být zneužity k připojení zařízení do kompromitované sítě nebo k odesílání zpráv jménem oběti.

4. Odkloní naše platby nebo je budou podvodem přijímat

Většina finančních aplikací dnes umožňuje provádět QR platby. Kódy v tomto případě obsahují údaje o příjemci peněz. Mnoho obchodů tyto kódy poskytuje svým zákazníkům a usnadňuje tak peněžní transakce. Útočníci však mohou údaje v těchto QR kódech nahradit vlastními bankovními detaily a přijímat platby na své účty. Mohou také generovat falešné QR kódy s požadavky na inkaso.

5. Ukradnou uživateli přístup k účtu nebo jeho identitu

Některé aplikace (WhatsApp, Discord nebo Telegram) používají QR kódy k ověření uživatelských relací a umožňuje tak přihlášení k účtům. Zkrátka tak nahrazují přihlašování heslem. QR kód například skenujeme při otevírání aplikace WhatsApp ve svém počítači. Právě na této chatovací platformě se již objevil útok označovaný jako QRLjacking. Útočníci oklamali uživatele tím, že se vydávali za provozovatele chatovací aplikace a přiměli je k naskenování jejich podvodný QR kódů. A dveře k jejich účtům měli otevřené.

V našich chytrých telefonech nosíme v různých aplikacích velmi citlivé údaje. QR kódy se již v některých zemích používají jako certifikáty k ověření údajů o dané osobě, tedy jako forma občanského průkazu nebo očkovacího průkazu. V Česku takto funguje například aplikace Tečka k ověření platnosti očkování proti COVID-19. A tyto informace podvodníky velmi zajímají.

Útoky prostřednictvím manipulativní komunikace spadají pod metody takzvaného sociálního inženýrství. Jejich cílem je z nás vylákat co nejvíce osobních informací a zneužít je k dalším útokům – zasílání phishingových zpráv nebo podvodným telefonátům.

Jak naskenovat QR kód bezpečně?

• Před skenováním QR kódu na veřejném místě si zkontrolujte, zda s ním nebylo manipulováno, například zda nezakrývá jiný QR kód.
• Neskenujte náhodně nalezené QR kódy nebo kódy v nevyžádaných zprávách.
• S kódy pracujte stejně opatrně jako s odkazy nebo přílohami v e-mailech nebo chatovacích aplikacích. Neznáte odesílatele? V tom případě kód neskenujte.
• Buďte velmi opatrní, pokud chcete QR kód použít k platební transakci. Zvažte použití jiné dostupné platební metody.
• Pokud to čtečka QR kódů ve vašem zařízení umožňuje, zakažte provádět automatické akce při skenování QR kódu, jako je návštěva webové stránky, stahování souboru nebo připojení k síti Wi-Fi.
• Po naskenování se pečlivě podívejte na URL adresu a zkontrolujte, zda je legitimní. Přesto je často lepší nezadávat přihlašovací údaje nebo osobní údaje na webu, na který jste se dostali prostřednictvím QR kódu. Pokud se vám něco nezdá, otevřete prohlížeč a zadejte adresu sami.
• Nesdílejte QR kódy, které obsahují citlivé údaje, například kódy používané pro přístup k aplikacím nebo kódy obsažené v dokumentech a zdravotních potvrzeních.
• Pro generování QR kódu používejte ověřený generátor. Aplikace na generování kódů mohou také ověřit, zda je nějaký QR kód pravý a provádí požadovanou akci.
• Operační systém svého chytrého telefonu i všechny aplikace pravidelně aktualizujte.
• Používejte na svém chytrém telefonu kvalitní bezpečnostní software.