V Európe sa stále častejšie objavujú prípady, keď používateľ elektromobilu pri snahe o zaplatenie elektriny z nabíjačky príde o peniaze. Príčinou je skenovanie nálepky s falošným QR kódom, ktorou útočník prelepil ten legitímny.
Podvod však môže postihnúť aj majiteľov áut so spaľovacím motorom. Napríklad ak sa snažia zaplatiť za parkovanie.
Neobsluhované nabíjačky vyžadujú online platby
Dobíjanie elektromobilov nevyžaduje špecifickú infraštruktúru nevyhnutnú pre čerpacie stanice pohonných hmôt. Miesto rozmerných nádrží na palivá stačí pripojenie do všadeprítomnej elektrickej siete. Nabíjačky preto často existujú len vo forme stojanov bez obsluhy a platba prebieha online.
Je však nutné zabezpečiť legitímny spôsob, aby peniaze za odobratú elektrinu prešli od zákazníka k jej dodávateľovi. Vtedy prichádzajú k slovu QR kódy. A ako každý proces pracujúci s financiami sa aj tento dá zneužiť.
Rozmer problému zvyšuje fakt, že v Európe sa nachádzajú stovky tisíc nabíjacích stojanov pre elektromobily. Je teda prakticky nemožné mať všetky pod neustálym dohľadom.
"Quishing" nie je úplnou novinkou
Čierno-biele štvorčeky so zvláštnym vzorom sú medzi nami už tri desaťročia. Obsahujú v sebe zakódovaný text, ktorý môže slúžiť ako adresa internetovej stránky, platobného portálu či prepojenie na stiahnutie príslušnej aplikácie. Dokáže ich prečítať prakticky každý smartfón.
Názov techniky „quishing“ v sebe spája QR kód a „phishing“, slovo, ktoré v angličtine pripomína „rybolov“. Odkazuje tak na „ryby“, ktoré sa môžu chytiť na „návnadu“.
Tento spôsob sa začal využívať v e-mailoch, kde odkaz na podozrivú stránku zakódovaný do QR kódu „nebije do očí“ a môže uniknúť aj niektorým antivírovým softvérom skenujúcim škodlivý obsah.
V roku 2023 došlo k masívnemu útoku na významnú energetickú spoločnosť, škodlivé e-maily boli maskované ako bezpečnostné upozornenia Microsoftu. V priloženom obrázku alebo PDF dokumente sa nachádzal QR kód odkazu na nebezpečný kód, ktorý sa „tváril“ ako nástroj na zvýšenie bezpečnosti.
Počas pandémie COVID-19 sa objavili aj útoky obsahujúce QR kódy maskujúce sa ako prihlasovacie kódy na objednávku vakcinácie.
Varovným signálom je skutočnosť, že podiel útokov využívajúcich QR kódy narástol z 0,8 percenta v roku 2021 na 10,8 percenta v roku 2024.
Fyzický QR kód je dôveryhodnejší
Zvláštnou vlastnosťou QR kódov je to, že môžu existovať aj vo fyzickej forme. Vyskytujú sa vo forme nálepky či ako priama súčasť vytlačeného informačného letáku.
Okrem platobných portálov môžu sprístupňovať registráciu na spoločenské udalosti, online hlasovanie, či zľavy v obchodoch. Kombinácia reálneho a virtuálneho sveta zvyšuje ich dôveryhodnosť a umožňuje nalákať viac obetí.
Austin v Texase bol postihnutý prelepovaním QR kódov na parkovacích automatoch. Ten presmeroval motoristu snažiaceho sa o platbu na škodlivú webstránku.
🚨Scam Alert🚨
— Austin Police Department (@Austin_Police) January 3, 2022
APD Financial Crimes detectives are investigating after fraudulent QR code stickers were discovered on City of Austin public parking meters. People attempting to pay for parking using those QR codes may have been directed to a fraudulent website and made a payment. pic.twitter.com/Gb8gytCYn7
Podobný typ útokov sa objavil aj vo Veľkej Británii. Falošné QR kódy boli nájdené vo východnom Londýne, Northumberlande a Pembrokeshire.
‼️Scam alert‼️
— Barking and Dagenham Council (@lbbdcouncil) June 11, 2024
We've been made aware that large QR codes have been placed on top of some of our PayByPhone signage around the borough.
These QR codes take you through to a fake website (parking.sps) and asks for your bank details. This is a fake website and do not use it. pic.twitter.com/9ABsmH5yO0
Na čo si dať pozor
Existuje niekoľko odporúčaní, ktoré síce riziko krádeže prostredníctvom QR kódu úplne neodstránia, môžu ho však významne zredukovať.
V prvom rade si treba pozorne prezrieť príslušný QR kód. Je naozaj originálny? V niektorých prípadoch je obrazec autentického QR kódu vytvorený lakom priamo na kovovom obale zariadenia. Dá sa skontrolovať aj rozdiel vo farebnosti či odlišnosť fontu, ak QR kód okrem obrazca obsahuje aj text.
V prípade podozrenia je lepšie použiť inú platobnú metódu, napríklad terminál na platobné karty. Ak sa vyžaduje na platbu konkrétna aplikácia, tá sa dá nájsť podľa názvu v oficiálnom obchode Apple či Google a QR kód pre jej inštaláciu skenovať netreba.
Po oskenovaní kódu je vhodné skontrolovať príslušný odkaz. Neobsahuje pravopisné chyby či preklepy? Smeruje naozaj na stránku poskytovateľa platobných služieb? Automatické otváranie odkazov z QR kódov je dobré mať vypnuté. Existujú takzvané „zero click“ zraniteľnosti, kde na inštaláciu škodlivého softvéru nie je potrebná žiadna aktivita užívateľa.
Treba, samozrejme, dodržiavať aj všeobecné zásady platobnej disciplíny. Dvojfaktorové overovanie platieb je v EÚ už zákonnou povinnosťou. Je vhodné mať na „podozrivé“ finančné transakcie, kde hrozí vyššie riziko zneužitia, samostatný bankový účet alebo aspoň samostatnú platobnú kartu s nastaveným limitom.
QR kódy prišli z Japonska
Názov QR kód pochádza z anglického výrazu „quick response“, teda „rýchla reakcia“, vzhľadom na to, že sa dajú technickými prostriedkami čítať veľmi rýchlo.
Vyvinula ich v roku 1994 japonská firma Denso-Wave na sledovanie pohybu automobilových súčiastok počas výroby. Údaje sú v ňom zapísané vo forme „samoopravných“ Reed-Solomonových kódov, teda sa dajú prečítať, aj keď sú čiastočne poškodené. Jeden QR kód dokáže uchovať až 4 296 alfanumerických znakov, čo je približne toľko, ako sa vojde na dve bežné stránky A4.
V prípade čisto numerických hodnôt je do QR kódu možné umiestniť až 7 089 číslic. Vzhľadom na krajinu pôvodu môže QR kód obsahovať aj znaky japonských abecied.