"Quishing" je kada prevarant ukrade identitet pomoću QR koda, koji se aktivira kada ga skenirate. Ovaj opasni oblik krađe identiteta bilježi značajan porast broja žrtava širom svijeta.
"Quishing" je opasan jer većina ne shvata pretjerano ozbiljno skeniranje QR kodova. Vjerovatno će samo slijepo slijediti uputstva QR koda i otići na bilo koji URL ili uslugu na koju kod vodi. To omogućava prevarantima da napadnu. Prevarant proučava veb stranicu na koju vodi QR kod, stvara kopiju, a zatim zamjenjuje legitimni QR kod svojim i usmjerava na kloniranu veb stranicu.
Kada žrtva skenira lažni QR kod, on je odvodi na lažnu veb stranicu koja traži lične podatke, uključujući podatke o plaćanju. Nakon što ih se prevaranti domognu, mogu da obave kupovinu koristeći bankovni račun žrtve.
Kako funkcionišu prevare QR kodom?
Možda vam krađa putem QR koda još uvijek zvuči kao naučna fantastika, ali u velikoj mjeri, to je ipak stvarnost.
Napadi na sat za parkiranje i punjač
Neki mjerači parkiranja automobila i mjesta za punjenje telefona koriste QR kodove kao dio postupka plaćanja. Da biste platili naknadu, skenirate kod koji vas usmjerava na veb mjesto za plaćanje ili aplikaciju za preuzimanje.
Prevaranti otimaju te QR kodove lijepeći svoju zlonamjernu verziju preko originala. Kada neko ode da plati parking ili punjač, skenira aplikaciju, unese podatke o plaćanju na lažnu veb stranicu ili aplikaciju i nesvjesno ih pošalje prevarantima.
Napadi e-poštom
Ponekad će prevaranti poslati e-poruku s priloženim QR kodom. Prevarant će vas uvjeriti da ga skenirate; na primjer, mogli biste pomisliti da se radi o važnoj aplikaciji ili o tome da policija traži plaćanje neke kazne. Kada žrtva skenira QR kod, vodi je do lažne veb stranice ili aplikacije koja traži podatke o njenoj kreditnoj kartici.
"HP Threat Research" objavio je da je ova metoda napada doživjela skok u Kini još 2022. godine, i to mejlom u kojem se tvrdi da primalac ima pravo na vladinu pomoć. Od korisnika su se tražili podaci o kreditnoj kartici, uključujući detalje o trenutnom stanju na računu.
Generatori lažnih QR kodova
U nekim slučajevima prevarant postavlja lažni generator QR koda kako bi prevario ljude.
BitDefender je objavio primjer gde je nekoliko veb stranica postavilo generatore lažnih QR kodova za Bitkoin novčanike. Veb stranica je tražila od korisnika ID novčanike i obećala da će generisati QR kod koji bi primaoci mogli lako da skeniraju i upotrebe dok je, u stvarnosti, kod vodio na sopstveniu Bitkoin novčanik prevaranta.
