Az utóbbi időszakban az FBI külön figyelmeztetést adott ki egy új, kreatív, ám annál veszélyesebb csalási formáról. A módszer lényege, hogy váratlan, rejtélyes csomagokat juttatnak el a gyanútlan emberekhez, bennük egy QR-kóddal, amely első ránézésre ártalmatlannak tűnik. A valóságban azonban ez a kód lehet az eszköz arra, hogy személyes adataink, banki információink vagy akár eszközeink teljes biztonsága veszélybe kerüljön.
A jelenség jól illusztrálja, mennyire kifinomultakká váltak a kiberbűnözők módszerei, és mennyire képesek kihasználni a digitális korban megszokott eszközeinket. A QR-kód mára hétköznapi jelenség lett: használjuk éttermekben étlaphoz, közlekedési jegyekhez, online fizetéshez, rendezvényeken belépéshez. Éppen ez a megszokottság az, ami miatt könnyen áldozattá válhatunk, ha meggondolatlanul szkennelünk egy ismeretlen kódot.
A QR-kód egyik legnagyobb előnye, hogy rendkívül gyors és kényelmes. Egyetlen mozdulattal elérhetünk egy weboldalt, letölthetünk egy alkalmazást vagy elindíthatunk egy fizetési folyamatot. Ugyanakkor pontosan ez az egyszerűség jelenti a legnagyobb kockázatot is: a felhasználó szinte sosem látja előre, hogy a kód pontosan hova vezet.
A támadók ezt a tulajdonságot használják ki, amikor váratlan csomagokat küldenek. A kíváncsiság pszichológiai tényező: ha valami rejtélyes érkezik a címünkre, sokan azonnal szeretnénk megtudni, miről van szó. Egy QR-kód ebben a helyzetben úgy tűnik, mint a megoldás kulcsa. De amint beszkenneljük, máris egy kockázatos weboldalon találhatjuk magunkat, amely adatokat kérhet be, vagy rosszindulatú szoftvert próbál telepíteni a készülékünkre.
A csalási forma több lépésben bontakozik ki. Elsőként a célpont kap egy csomagot, amelynek eredete homályos. Nem szerepel rajta ismert feladó, vagy ha igen, a megnevezés teljesen általános, például egy logisztikai cég neve. A csomag belsejében nincs valódi termék, csak egy QR-kód, amelyhez rövid üzenet is társulhat: „Aktiválja nyereményét”, „Erősítse meg rendelését”, „Kövesse nyomon küldeményét”.
Amint a címzett beolvassa a kódot, a támadó kontrollt nyer. Ez többféleképpen történhet: egy adathalász oldalra irányít, amely bejelentkezési adatokat kér, hamis banki oldalt nyit meg, vagy egyszerűen egy olyan alkalmazást tölt le, amely rejtett módon kémprogramként működik.
Ez a módszer azért is hatékony, mert nem igényel aktív kapcsolatfelvételt a felhasználóval. Nincs szükség telefonhívásra, e-mailre vagy közvetlen üzenetre: maga a kíváncsiság csábítja rá az áldozatot, hogy önként hajtsa végre a támadó által kívánt lépést.
Az elmúlt években a QR-kódok rendkívül népszerűvé váltak, különösen a pandémia időszakában, amikor az érintésmentes megoldások előtérbe kerültek. Éttermekben a papíralapú menük helyett QR-kódokat kezdtek alkalmazni, a bankok és a közlekedési társaságok is egyre gyakrabban használták a kódokat fizetéshez vagy belépéshez.
A bűnözők mindig ott keresnek rést a pajzson, ahol a legnagyobb a felhasználói aktivitás. Mivel a QR-kód mára a hétköznapok szerves része, és az emberek többsége szinte gondolkodás nélkül használja, ideális eszközzé vált a megtévesztéshez.
Fontos, hogy tudatosan álljunk hozzá a QR-kódok használatához, különösen akkor, ha azok ismeretlen forrásból származnak. Az FBI ajánlásai alapján az alábbi szabályok segíthetnek abban, hogy biztonságban maradjunk:
A QR-kódos „mystery package” átverés jól példázza, hogy a digitális csalások folyamatosan változnak, és mindig a legújabb felhasználói szokásokat próbálják kihasználni. Ez a módszer különösen alattomos, mert a kíváncsiságra épít, amelyet nehéz legyőzni.
Azonban ha tudatosan figyelünk, könnyen felismerhetjük a gyanús jeleket. Egy váratlan csomag, amelyhez QR-kód társul, mindig gyanút kell, hogy ébresszen bennünk. Ha megállunk egy pillanatra, és nem engedünk a kísértésnek, máris óriási lépést tettünk a saját biztonságunk érdekében.
