Masz samochód elektryczny? A czy ładujesz go bezpiecznie? Analitycy ESET ostrzegają  przed fałszywymi kodami QR

Popularność samochodów elektrycznych przyciąga nie tylko miłośników ekologii, ale także cyberprzestępców. Nowa fala oszustw z użyciem fałszywych kodów QR na stacjach ładowania stanowi zagrożenie dla portfeli kierowców. Wystarczy zeskanować taki kod, aby zamiast naładować pojazd, stracić pieniądze. Na czym polega to oszustwo i jak się przed nim chronić?

Cyberprzestępcy coraz częściej sięgają po dane płatnicze kierowców. Jednym z najnowszych oszustw, zauważonym już w kilku krajach Europy, jest „quishing” – phishing z użyciem fałszywych kodów QR. Kierowcy samochodów elektrycznych powinni zachować szczególną ostrożność korzystając ze stacjih ładowania.

– Chociaż kody QR pojawiły się już w latach 90., quishing jako zagrożenie zaczął się rozwijać w czasie pandemii, gdy stały się powszechniejsze jako bardziej higieniczny sposób dostępu do menu czy formularzy medycznych. Oszuści szybko wykorzystali tę sytuację, podmieniając prawdziwe kody QR na fałszywe. Po ich zeskanowaniu ofiary trafiają na strony phishingowe, gdzie przestępcy mogą przechwytywać ich dane logowania lub próbować instalować złośliwe oprogramowanie. Quishing to wyjątkowo skuteczna metoda, ponieważ kody QR nie wzbudzają tak dużej podejrzliwości jak nieznane linki. – mówi Beniamin Szczepankiewicz, analityk laboratorium antywirusowego ESET.

 

Cel: właściciele samochodów elektrycznych

Oszuści naklejają złośliwe kody QR na oryginalne kody umieszczone na publicznych stacjach ładowania. Kod ten ma przenosić użytkowników na stronę, na której mogą zapłacić operatorowi stacji za pobraną energię.

Po zeskanowaniu fałszywego kodu użytkownicy trafiają na stronę phishingową, niemal identyczną jak oryginalna, gdzie proszeni są o podanie danych płatniczych, które następnie przechwytują oszuści. Pierwsza próba płatności na fałszywej stronie kończy się niepowodzeniem, po czym użytkownik jest przekierowywany na prawdziwą stronę by nie wzbudzać w ofierze podejrzeń. Dzięki temu ofiary mogą dokończyć transakcję, nie zdając sobie sprawy, że chwilę wcześniej ich dane zostały skradzione.

Podobne oszustwa były już stosowane w przypadku parkometrów m.in. w Krakowie, gdzie kierowcy tracili nie tylko dane swojej karty, ale także ryzykowali nałożenie mandatu przez lokalne władze.

– Obecne oszustwa z użyciem quishingu koncentrują się głównie na wyłudzaniu danych płatniczych za pomocą stron phishingowych. Nic jednak nie stoi na przeszkodzie, by cyberprzestępcy zaczęli modyfikować te ataki, próbując nakłonić użytkowników do zainstalowania np. fałszywej aplikacji operatora ładowarki, które przejmie kontrolę nad urządzeniem ofiary lub wykradnie inne loginy i poufne informacje – mówi Beniamin Szczepankiewicz.

 

Na szczęście istnieje kilka prostych kroków, które można podjąć, aby zmniejszyć ryzyko quishingu:

  • Przyjrzyj się dokładnie kodowi QR. Sprawdź czy wygląda, jakby był naklejony na coś innego, czy jest częścią oryginalnego oznakowania, czy różni się kolorem od reszty oznaczeń lub jest niespójny graficznie.
  • Nigdy nie skanuj kodu QR, jeśli nie jest wyświetlony bezpośrednio na terminalu ładowania lub parkometrze.
  • Rozważ płatność przez telefon lub za pomocą oficjalnej aplikacji operatora ładowania.
  • Wyłącz opcję automatycznego działania po zeskanowaniu kodu QR, takiego jak otwieranie stron internetowych lub pobieranie plików. Po zeskanowaniu kodu sprawdź adres URL, aby upewnić się, że jest to domena powiązana z usługą, z której korzystasz..
  • Zwróć uwagę, czy strona, na którą prowadzi kod, nie zawiera błędów gramatycznych lub literówek.
  • Jeśli coś wzbudza twoje wątpliwości, zadzwoń bezpośrednio do operatora ładowania i zgłoś swoje obawy.
  • Wiele terminali ładowania oferuje różne metody płatności, takie jak karta kredytowa, płatności NFC lub gotówka. Jeśli nie czujesz się pewnie, skanując kod QR, rozważ użycie jednej z tych alternatyw.
  • Stosuj wieloetapową weryfikację (MFA) na wszystkich kontach, które oferują taką opcję. Dzięki temu twoje konto będzie chronione nawet w przypadku przechwycenia danych logowania przez oszustów.
  • Korzystaj z oprogramowania zabezpieczające również na urządzeniach mobilnych.