Uwaga na złośliwe kody QR na bankomatach, których nikt nie widział
To, że jakiś atak jest teoretycznie możliwy, nie oznacza, że ktoś go stosuje. Widzieliście ostrzeżenia przed skanowaniem kodów QR na bankomatach? Opowiemy Wam dziś, jak policja i banki przyczyniły się do powstania fake newsa, który obiegł polskie media.
Pod koniec ubiegłego roku na stronie Związku Banków Polskich (ZBP) pojawił się Komunikat w sprawie skanowania przez użytkowników smartfonów kodów QR z naklejek bezprawnie umieszczanych na bankomatach, który umknął uwadze mediów. Niedługo potem informację o niemal identycznej treści opublikowały Polska Izba Informatyki i Telekomunikacji (PIIT) oraz Policja. Na tę ostatnią zaczęli powoływać się dziennikarze, którzy podłapali temat. Nawet w chwili, gdy zaczynaliśmy pisać ten tekst, ostrzeżenie przed kodami QR zajmowało pierwsze miejsce w rankingu najczęściej czytanych artykułów na stronie policja.pl.
Można się z niego dowiedzieć, że naklejki z niebezpiecznymi kodami QR „w ostatnim czasie bezprawnie umieszczane są na bankomatach”. Policja, ZBP i PIIT – posługując się niezbyt staranną polszczyzną – tłumaczą, że
Przestępcy wprowadzając w błąd poprzez przekazywanie fałszywej informacji o np. możliwej wygranej nagrodzie, doprowadzają do zmanipulowania potencjalnego klienta, który – w przypadku zeskanowania kodu QR z naklejki – w tym konkretnym przypadku zostanie przekierowany do usługi SMS PREMIUM, uruchomienie której spowoduje naliczenie, od nieświadomego usługobiorcy, wysokich opłat za jej włączenie. Ponadto podkreślenia wymaga fakt, że kody QR mogą nie tylko inicjować wskazane wyłudzenie, mogą również zostać wykorzystane do podstawiania oszukańczych platform, których celem może być wyłudzenie loginów i haseł do serwisów pocztowych, mediów społecznościowych, bankowości elektronicznej, usług publicznych, jak również do zainfekowania smartfonów szkodliwym oprogramowaniem.
Informację tę bez większych zmian podało wiele serwisów – nic dziwnego, skoro Polska Agencja Prasowa (PAP) zamieściła ją na swojej stronie z materiałami do bezpłatnego wykorzystania w mediach. Niektóre dość kreatywnie, choć niezgodnie z faktami, uzupełniły policyjny komunikat o pewną dozę dramatyzmu. „Wystarczy skan i pieniądze znikną z konta” – alarmował TVN24 BiS. „Naklejki z kodami pojawiły się w wielu miejscach w Polsce” – podkreślała Panorama TVP, która chcąc uwiarygodnić przekaz, poprosiła o komentarz paru ekspertów. „Wczytanie takiego kodu może narazić właściciela telefonu na utratę pieniędzy” – ostrzegała Rzeczpospolita. „Zdarzały się przypadki, że ludzie tracili w ten sposób po kilka tysięcy złotych” – straszył katowicki oddział Wyborczej, który już zdecydowanie odpłynął. O groźnych kodach QR informowały m.in. Wirtualna Polska, Interia, Radio ZET, Polskie Radio, RMF 24, Radio ESKA, Bankier.pl, Wprost, Komputer Świat i szereg innych stron.
Temat odżył, gdy media zauważyły, że ostrzeżenia o podobnej treści zaczęły w swoich serwisach publikować banki – najpierw BOŚ, Citi Handlowy i Bank Pocztowy, a ostatnio także PKO BP. Do tych pierwszych wysłaliśmy maile z prośbą o więcej szczegółów na temat ataków. Odpisała nam tylko Agnieszka Mędrzecka z Biura Zarządu i Komunikacji Banku Pocztowego:
W trosce o bezpieczeństwo naszych Klientów stale śledzimy najnowsze trendy oszustw dotykających sektor bankowy. Staramy się na bieżąco ostrzegać, zamieszczając komunikaty zarówno w mediach społecznościowych, jak i na stronach internetowych Banku, niezwłocznie po powzięciu informacji o potencjalnym ryzyku.
Komunikat dotyczący kodów QR zamieszczanych na bankomatach został opracowany w oparciu o treści zawarte w artykułach udostępnionych na stronach Związku Banków Polskich, Policji oraz Polskiej Izby Informatyki i Telekomunikacji (…)
Bank nie posiada bardziej szczegółowych informacji na temat konkretnych stron, na jakie kierowani są użytkownicy smartfonów po zeskanowaniu kodu QR. Nie dysponuje również zdjęciami naklejek, o których mowa w komunikacie.
Innymi słowy, bank nie zetknął się jeszcze z omawianym zagrożeniem, ale postanowił ostrzec przed nim klientów, sugerując się cytowanym wyżej komunikatem Policji, ZBP i PIIT. Zapytaliśmy podpisane pod nim podmioty, skąd mają informacje o groźnych kodach QR, które – jak głosi ostrzeżenie – „w ostatnim czasie bezprawnie umieszczane są na bankomatach”. Poprosiliśmy o adresy stron i dokładniejszy opis usług premium, do których te kody kierują. Ciekawiło nas, czy autorzy komunikatu dysponują zdjęciami złośliwych naklejek – chcieliśmy Wam je pokazać i poprosiliśmy o udostępnienie przynajmniej jednego.
Policja: Nie mamy takich zgłoszeń
Z upoważnienia Rzecznika Prasowego Komendanta Głównego Policji skontaktował się z nami kom. Dawid Marciniak – najpierw telefonicznie, potem mailowo. Okazało się, że Policja nie otrzymała dotąd żadnych zgłoszeń dotyczących naklejek z kodami QR umieszczanych na bankomatach. W związku z tym nie ma żadnych zdjęć ani nie może nam podać szczegółów na temat usług premium aktywowanych po zeskanowaniu złośliwych kodów, a opublikowane ostrzeżenie ma charakter prewencyjny. Z treścią e-maila, który otrzymaliśmy, możecie zapoznać się poniżej.
Do tej pory Policja nie odnotowała przypadków zgłoszenia się pokrzywdzonych w związku ze zeskanowaniem QR kodów. Informacje dotyczące pojawiających się naklejek z takimi kodami pojawiły się w przestrzeni publicznej. W związku z powyższym mając na uwadze bezpieczeństwo obywateli Policja wspólnie z Związkiem Banków Polskich przygotowała komunikat prewencyjny, który ma zwrócić uwagę na możliwe zagrożenia płynące z lekkomyślnego korzystania z technologii QR kod. Jednocześnie w zamieszczonym na stronie internetowej Policji komunikacie, jak również w wystąpieniach w radiu i telewizji w tym temacie zwracano uwagę, by każdy kto został pokrzywdzony zgłaszał się do najbliższej jednostki Policji.
Pod koniec jednego z materiałów telewizyjnych, dostępnych na stronie TVP Info, przedstawiciel Policji stwierdza wprost: „Nie mamy takich zgłoszeń”. Sam materiał utrzymany jest jednak w tonie lekkiej sensacji. Jego twórcy pokusili się nawet o pokazanie naklejki ze złośliwym kodem QR. Skąd ją wzięli? W sierpniu ubiegłego roku Niebezpiecznik poinformował krótko o naklejce, którą zdybał na bankomacie jeden z czytelników tego serwisu. Widniał na niej napis „Zgarnij Iphona X za Darmo!”, a strona, do której kierował kod, zajmowała się wyłudzaniem danych osobowych – nie było mowy o kradzieży pieniędzy lub wyłudzaniu SMS-ów premium.
Zagrożenie, przed którym ostrzegała Policja, miało działać inaczej – chodziło o „uruchomienie aplikacji wysyłającej SMS Premium bez wiedzy użytkownika”. Szkopuł w tym, że takich ataków nie odnotowano, informacje o nich pojawiły się tylko „w przestrzeni publicznej” (cokolwiek ten zwrot znaczy). I owszem, są możliwe, ale to nie powód, żeby siać panikę. Byłoby zdecydowanie lepiej, gdyby policyjne ostrzeżenie dotyczyło zagrożeń, z którymi Polacy naprawdę mają do czynienia – ataków niebezpiecznych i masowych, jak choćby oszustwa z wykorzystaniem fałszywych paneli płatności Dotpay, które obszernie opisywaliśmy przez cały zeszły rok. Niestety w serwisie policja.pl nie poświęcono im żadnej wzmianki, a były to ataki prawdziwe, nie hipotetyczne. Dlaczego organy powołane do dbania o nasze bezpieczeństwo wymyślają nieistniejące zagrożenia, zamiast ostrzegać przed tymi, które już istnieją? Nie mamy pojęcia.
ZBP wyjaśnia, lecz też ataków nie widział
Udało się nam także skontaktować z przedstawicielami ZBP. Na nasze pytania odpowiedział Piotr Marek Balcerzak, dyrektor Zespołu Bezpieczeństwa Banków – z treścią otrzymanego przez nas maila możecie zapoznać się poniżej.
– Skąd ZBP ma informacje o wspomnianych naklejkach?
Odnosząc się do wcześniejszych informacji medialnych Związek Banków Polskich podjął wspólną inicjatywę z Komendą Główną Policji i Polską Izbą Informatyki i Telekomunikacji o przygotowaniu ostrzeżenia, które ma charakter prewencyjny.
– Do jakich konkretnie stron prowadzą znajdujące się na nich kody QR, jakie usługi premium reklamują?
Sygnalizowane są usługi Premium SMS, ale tak naprawdę umieszczane w sferze publicznej QR kody mogą przekierować do aplikacji lub stron internetowych, skryptów uruchamiających złośliwe oprogramowanie. W jego wyniku może dojść np. do przejęcia kontroli nad smartfonem lub przejęciem informacji poufnych, związanych z korzystaniem z bankowości elektronicznej.
– Czy ZBP dysponuje zdjęciami takich naklejek i czy mogłabym przynajmniej jedno otrzymać celem zamieszczenia go w artykule?
Poinformowaliśmy właścicieli sieci bankomatowych w Polsce aby objęli dodatkowym monitoringiem bankomatów w tym zakresie. Otrzymaliśmy zdjęcia kilku QR kodów, które były naklejane na bankomaty ale po ich zbadaniu uznaliśmy je jako false positive.
Jednak należy pamiętać, że QR kod jest bardzo nowoczesnym rozwiązaniem, powszechnie wykorzystywany i z gruntu rzeczy bardzo ułatwiającym życie. Niektórzy dostawcy usług na blankietach polecenia przelewu zamieszczają QR kod aby po jego zeskanowaniu wypełnione zostaną wszystkie pola w aplikacji mobilnej, do dokonania płatności na rzecz tego dostawcy.
Dlatego tak ważne jest świadome i ostrożne wykorzystywania nowoczesnych technologii. Należy korzystać z QR kodów ale winny one pochodzić z wiarygodnego i zaufanego źródła i temu ma służyć ten wspólny komunikat ZBP, KGP i PIIT.
PIIT do chwili publikacji tego tekstu na zadane przez nas pytania nie odpowiedziała. Jeśli sami widzieliście na którymś bankomacie naklejki z kodami QR, to zapraszamy do kontaktu i nadsyłania zdjęć. Chętnie zaktualizujemy ten artykuł o dostarczone przez Was dowody wskazujące, że mamy do czynienia z realnym zagrożeniem, nie z legendą miejską. Pozdrawiamy także wszystkie redakcje i instytucje kolportujące opisanego powyżej newsa – weryfikacja informacji przed ich publikacją to trudne zadanie.
Źródło: zaufanastronatrzecia.pl
Więcej informacji:
Ponad 2300 zarzutów w związku z oszustwami internetowymi. Śląska policja zamknęła śledztwo
Spółka Polskiej Grupy Zbrojeniowej oszukana na cztery miliony. Ktoś podmienił numer konta
Marka Poczty Polskiej jest atrakcyjna dla cyberprzestępców
Uwaga klienci ING, po awarii banku dzisiaj atak na Wasze konta
Uwaga sprzedający samochody, obserwujemy falę ataków na klientów OTOMOTO.PL
W polskiej sieci krąży nowe oszustwo – czy jest się czego bać?
Dostałeś maila dotyczącego rozliczenia podatku? Uwaga na sprytnych oszustów!
Konsekwencje wycieku z morele.net? Czytelnik szantażowany
Ostrzegamy przed sklepem Odlootowy.pl, w którym ceny obniżono o ponad 90%- Uwaga na e-maile od „komorników”. Chwilowy brak uwagi i stracisz oszczędności