Nenaleťte na nový druh podvodu s balíky a QR kódy. Policie varuje před quishingem

Quishing a brushing

Podvod s balíčky a QR kódy je založený na kybernetickém útoku zvaném quishing (od kombinace slov pishing a QR), přičemž současně využívá dávno známé podvodné taktiky „brushing scam“, která letí zejména v zahraničí. V rámci ní prodejci lidem náhodně posílají drobné nevyžádané zboží, aby si mohli na své konto připsat dokončený ověřený nákup, a poté mu vytvořit falešnou pozitivní recenzi. Typicky to tak dělají online tržiště jako Amazon, AliExpress, Temu nebo eBay.

Pokud vám nevyžádaný balík přijde a vy jej převezmete, anonymní odesílatel si tak navíc ověří, že je vaše adresa aktivní. Výjimkou pak nebývají další agresivní marketingové (podvodné) kampaně, nebo dokonce pokusy o vydírání či zneužití osobních údajů.

Vedle prodejců se této taktiky ale chytli i mnozí kybernetičtí útočníci. Když lidé přebírají a otevírají nevyžádané zásilky, proč do nich nezkusit vložit QR kód, který by je donutil vyplnit údaje k platební kartě nebo stáhnout škodlivé aplikace?

Jak podvod s balíky a QR kódy funguje?

• Uvnitř nevyžádaného balíčku najdete kartičku nebo fakturu s QR kódem.
• Obvykle je přiložena i poznámka, že je QR potřeba naskenovat pro zjištění údajů o odesílateli, pro potvrzení o přijetí nebo pro vyzvednutí další části obsahu (hodnotné zboží, dárky nebo výhry).
• QR kód vás pak může nasměrovat na falešný web nebo podvodné stránky.
• Cílem je donutit lidi k vyplnění údajů z platební karty nebo stažení nebezpečné aplikace s malwarem, který jim napadne zařízení a může se dostat i do mobilního bankovnictví nebo databáze hesel.

„Podvodníci používají stále nové a nové způsoby k získání přístupu k citlivým informacím, jako jsou přístupové údaje, hesla, a ty pak použít k získání finančních prostředků i k další trestné činnosti,“ uvedl pro redakci Kupi David Schön, tiskový mluvčí Policie ČR. 

Zkouší to i přes dobírky a veřejná místa

V poslední době se také šíří případy, kdy lidem chodí balíčky na dobírku, které si ale vůbec neobjednali. Podvodníci spoléhají na důvěru, shon nebo roztěkanost příjemců, kteří často takový balíček převezmou v domnění, že si jej nechal poslat někdo z rodiny. A dobírku samozřejmě zaplatí. Ta může být až ve výši několika tisíc korun. Po rozbalení na ně uvnitř krabice obvykle čekají bezcenné věci a šok ze ztráty peněz, případně obavy ze zneužití platební karty, kterou dobírku uhradili.

Stejně tak se již několik let rozmáhá quishing. Podvodníci využívají veřejně dostupné QR kódy (ve výlohách, na lavičkách, parkovacích automatech, plakátech, památkách apod.), které přelepují vlastními. Ty, jak už bylo zmíněno, pak vedou na falešné stránky nebo falešné přihlášení do mobilního bankovnictví, platební formuláře či na odkazy s nebezpečnými aplikacemi.

„Pokud se bavíme o zasílání nevyžádaných zásilek, tak rozhodně takové zásilky nepřebírat. Samozřejmě, že s pokusy podvodného vylákání údajů či peněz se dnes setkáváme i jinde, platí tedy neskenovat či neklikat na žádné odkazy ať už v nevyžádaných e-mailech, či zprávách, případně na sociálních sítích,“ doplnil pro redakci Kupi Schön.

Jak poznat škodlivý QR kód?

• Na veřejných místech kontrolujte, zda není QR kód přelepený jiným.
• Po naskenování QR kódu se vždy podívejte, kam vás chce přesměrovat. Všímejte si URL adresy a správnosti názvu. Na ostražitost nezapomeňte ani po přesměrování (např. informační cedule o městské památce po vás těžko bude chtít údaje k platbě).
• Osobní nebo platební údaje zadávejte po naskenování jen u prověřených adres. Bezpečné QR platby vás vždy přesměrují do bankovní aplikace, ne na web nebo přímo do platební brány. I tak si ale ověřte, že je URL adresa bankovnictví správná.
• Pokud si chcete být opravdu jistí, existují aplikace pro skenování QR kódů, které umí zobrazovat cílové URL adresy a odhalit, jestli je QR kód závadný. DTest například doporučuje aplikace Google Lens nebo Trend Micro QR Scanner.

Zdroje: Policie ČR pro redakci Kupi.cz, Česká spořitelna, E-bezpečí, dTest