Podejrzany prezent za kod QR?
Można odnieść wrażenie, że pokolenie dzisiejszych 30/40-latków wydaje się nie zauważać – a przynajmniej nie akceptować – roli, jaką w życiu młodego pokolenia pełnią tzw. influencerzy. Czy mówią Wam coś ksywy Wersow, Panda, Blowek, Naruciak, Nitrozyniak, czy Budda? Pewnie najbardziej ta ostatnia, gdy w ostatnich dniach o youtuberze stało się głośno po jego zatrzymaniu przez CBŚP i aresztowaniu. Nic więc dziwnego, że w naszej praktyce trafiamy również na oszustwa z podszyciem pod idoli młodzieży. Również takie, gdzie w głównej roli występuje kod QR.
Zacznijmy od tego kim jest influencer? Wg. Słownika Języka Polskiego jest to: Osoba aktywnie działająca w mediach społecznościowych i mająca silny wpływ na zachowania i opinie swoich fanów. Duży wpływ influencerów na nastolatków to fakt, którego nie można bagatelizować. To jednak temat na oddzielny tekst. Poniżej przyjrzymy się prostemu, acz groźnemu i potencjalnie skutecznemu oszustwu.
Prezent od influencera oszusta
Do CERT Orange Polska trafiło zgłoszenie od klienta, proszącego o wyjaśnienie naliczenia wysokich opłat za usługi dodatkowe. Zgłaszający ułatwił sprawę, przysyłając podejrzane w jego opinii zrzuty ekranu z korespondencji za pośrednictwem platformy Discord. Rozmówcą miał być influencer i streamer Panda Gaming.
Po zaczepieniu rozmówcy atakujący przechodzi do konkretów ataku. Najpierw prosi o znalezienie aplikacji Wiadomości Google:
Następnie informuje o konieczności zeskanowania za jej pomocą „zdjęcia” (warto zauważyć, że w wypowiedzi „influencera” pada określenie „parowanie urządzenia”!):
a na końcu podaje… kod QR. Rozmówca, skupiony na otrzymaniu prezentu od rzekomego influencera nie zwrócił uwagi, że kod, który mu podaje, nie ma niczego wspólnego z rzekomą ankietą. Co więcej „idol” jest jeszcze gotów dodać go do znajomych! Sprytna socjotechniczna sztuczka, odwracająca uwagę ofiary od tego, co się właśnie stało.
Co robił ten kod QR?
Jeśli już się zorientowaliście, to brawo. Kod QR, który osoba podszywająca się pod influencera podsunęła nieświadomej ofierze, powoduje sparowanie aplikacji wiadomości na telefonie ofiary z komputerem atakującego. To wprowadzona już jakiś czas temu w Androidzie możliwość, ułatwiająca podstawową interakcję telefonem bez odchodzenia od komputera. Wygodne? Zdecydowanie, ale trzeba pamiętać, by nie uruchamiać aplikacji, by zeskanować kod QR podany przez osobę trzecią! W takiej sytuacji wysyłający kod uzyskuje dostęp do naszych wszystkich SMS-ów. W tym przypadku napastnik wykupił usługi online, płatność za które była pobierana z rachunku ofiary. By ją zatwierdzić, wystarczyło… podać kod z SMS-a.
Konto osoby wykorzystującej nick Pandy wygląda nieco inaczej niż faktyczne konto influencera. Jego konto na Discordzie funkcjonuje pod innym – choć oczywiście podobnym – nickiem, z inną grafiką. Sam youtuber jest świadom tego, że oszuści podszywają się pod niego, opublikował m.in. na swoim kanale film, ostrzegający przed próbami wyłudzenia. Trzeba też pamiętać, że o ile do CERT Orange Polska trafił jeden przypadek, niewykluczone, że oszuści wykorzystują również marki osobiste innych influencerów.
Jak nie dać się oszukać?
Przede wszystkim, gdy widzisz kod QR nie skanuj go od razu! Rok temu, odpowiadając na naszych stronach na pytanie, czy takie kody są niebezpieczne, opublikowaliśmy duży tekst, opisujący szczegółowo różne związane z nimi zagrożenia. Nie zabrakło tam wektora ataku opisanego w tym tekście – jak widać, nie do wszystkich internautów udało się dotrzeć. Kod QR jest bezpieczny, jeśli trzymamy się podstawowych zasad:
- nie podaję swoich danych w formularzach niewiadomego pochodzenia
- rezygnuję z logowania się na stronie, jeśli prowadzi mnie do niej link z kodu QR
- nie instaluję aplikacji, do których kierują kody QR
