Így kerülhetők el a QR-kódos csalások

A Nemzeti Kibervédelmi Intézet (NKI) bemutat néhány példát a QR-kódos csalásokra, és elmondják azt is, mire és miért érdemes odafigyelni annak érdekében, hogy elkerüljük az áldozattá válást.

Mi is az a QR-kód?

A QR-kód (Quick Response kód) egy kétdimenziós vonalkód. Nevét az angol Quick Response vagyis gyors válasz rövidítéséből kapta. Bármilyen irányból készülhet róla fénykép vagy szkennelt kép, nem kell törődni a kód helyes tájolásával. A kód megfejtésére, dekódolására szolgáló programok, amik ma már minden mobiltelefonon ott vannak, a három sarokban elhelyezett jellegzetes, minden QR-kódban azonos minta alapján el tudják dönteni, milyen irányban kell a kód pontjait értelmezni, feldolgozni, még akkor is, ha a kódbélyegről készült kép teljesen ferde.

Mi lehet a gond ezekkel a kódokkal?

A QR-kódokal alapvetően az a gond, hogy nem tudjuk ellenőrizni, a beolvasásuk mit fog eredményezni. Azt sem tudhatjuk, mi mindent tartalmaz egy QR-kód, még akkor sem, ha mi magunk készítjük el a sajátunkat. Emiatt a QR-kód nagyon könnyen kihasználható csalás elkövetésére, amit „quishingnek” (QR-code phishing) is neveznek.

Milyen QR-kódos csalások vannak?

A csalók például az utcán leszólítanak valakit, hogy gyorsan segítsenek rajtuk egy csekély összeg, például a parkolási díj vagy egy buszjegy kifizetésével. A pénzt egy QR-kód beolvasásával, és a fizetési adatok megadásával tudták volna elküldeni a „megszorult” csalóknak, azonban valójában egy kamu weboldal jelent meg a telefon képernyőjén, amin az áldozatok megadták a bankkártyaadataikat, ami így a csalók birtokába jutott. Amerikában volt olyan est is, hogy a csalók több száz parkolóautomatán egyszerűen átragasztották a QR-kódot egy „gyorsabb parkolási fizetést ígérő” weboldalra. Azok, akik ezt beszkennelték, nem a parkolást rendezték, hanem a csalóknak utalták a pénzt. Hazai esetről is tud a hatóság: az NKI-hoz is érkezett már olyan bejelentés, amiben az adathalász e-mail QR-kódot tartalmazott.

Mit tehetünk az ellen, hogy QR kódos csalás áldozatává váljunk?

• Nem mindegy például, hogy hol található az adott kód. Egy jól ismert létesítményben, vagy az utcán, ahol bárki hozzáférhet. Az is árulkodó jel, hogy milyen anyagra nyomtatták. A nyilvános helyen (például egy buszmegállóban) lévő QR-kódokat könnyebb manipulálni, ezért mindig fokozott óvatossággal javasolt beolvasni ezeket!
• A plakáton vagy táblán lévő QR-kód beolvasása előtt végezzünk gyors fizikai ellenőrzést, hogy megbizonyosodjunk arról, hogy a kódot nem ragasztották-e az eredeti képre!
• Az ördög a részletekben lakozik! A QR-kód hitelességének ellenőrzéséhez figyeljük meg az apró részleteket! Például egy poszter, amely számos nyelvtani hibát tartalmaz valószínűleg nem lesz megbízható.
• Ellenőrizzük a QR-kód tartalmát! Mielőtt beolvasnánk a QR-kódot, győződjünk meg arról, hogy az hova is vezet! Apple eszközön, a kameraalkalmazásnál a jobb oldalon megjelenő ikonra koppintva megtekinthető a link. A Google Lens használatával a képernyő közepén feltünteti a hivatkozást.
• Ne osszunk meg érzékeny adatokat! Egy QR-kód beolvasását követően soha ne osszuk meg személyes adatainkat, hacsak nem vagyunk teljesen biztosak a weboldal hitelességében.