Parkolás közben ürítik ki a magyar autósok bankszámláját a csalók
Hamis QR-kódokkal próbálják meg a csalók ellopni az elektromos autósok adatait, így parkolás közben csupaszítják le a bankszámlát. A dolog nem csak az e-autósokat érinti, már parkolóautomatákon is találtak adathalász kódokat.
Mindig legyünk résen, ha QR-kódot olvasunk be a telefonunkkal – figyelmeztet a Német Autóklub (ADAC), amely amiatt adta ki a figyelmeztetést, mert több töltőállomásnál is hamis QR-kódokkal próbálják ellopni az elektromos autósok adatait. Ráadásul a bűnözők már akár egy parkolás kapcsán is lecsupaszíthatják a bankszámlákat – írta meg a Dívány.
Nem csak a töltőállomásokon, hanem a parkolóautomatáknál is próbálkoznak a csalók
Ugyanez a veszély Magyarországon is fennáll, és az e-autósok mellett már parkolóautomatákon is találtak hivatalos kódok helyére ragasztott, kártékony weboldalra vezetőket – adta hírül a Pénzcentrum az ADAC értesüléseire hivatkozva.
Azok, akik a helyszínen mobiltelefonnal szeretnék kifizetni a töltést, veszélybe kerülhetnek. A módszer lényege, hogy a bűnözők a töltőállomásokon található QR-kódos matricákat saját kódjaikkal ragasztják le, amelyek a felhasználókat a töltőállomás üzemeltetőjének hamisított weboldalára irányítják. A hamis oldalon az ügyfelek megadják bankszámlaadataikat, amelyeket a csalók ezután megpróbálnak felhasználni a pénzlehíváshoz. Elsőre a kamuoldal fizetési hibát jelez, a második próbálkozás során az ügyfeleket már a helyes weboldalra irányítják, ahol már ki tudják fizetni a töltést, így elalszik a gyanú is bennük.
Így érdemes alaposan megvizsgálni a QR-kódos matricát, hogy az esetlegesen egy másik kódot takar-e. Néhány üzemeltető a kijelzőn is elhelyez egy kódot, ezért tanácsos inkább ezt használni a matricás QR-kód helyett. Emellett biztonságos lehet az üzemeltető saját alkalmazásának használata is. Érdemes gyanakodni akkor is, ha fizetéskor túl magas összeg jelenik meg, amit le akarnak vonni, vagy ha az üzemeltető weboldala gyanúsnak tűnik – figyelmeztetnek a németek.
Magyarországon is résen kell lenni
Az ilyen csalásokra már az MNB Kiberpajzs weboldala is figyelmezet. Mint írják, az emberek nem tudják előre, mi történik, ha beolvasnak egy QR-kódot, ezért kénytelenek megbízni annak készítőjében. Még akkor sem biztos, hogy tudjuk, mit tartalmaz egy QR-kód, ha mi magunk készítjük el. Emiatt a kód nagyon könnyen kihasználható csalás elkövetésére. Az ilyen csalás során a bűnözők káros kódokat juttatnak el az áldozatokhoz.
Ez a csalás egy újabb adathalász módszer, amellyel személyes és bankszámla adatokhoz férnek hozzá. A QR-kódokról azt kell tudni, hogy kódolt adatokat tartalmaznak, és linkként működnek. A link mögött lehet egy hamis weboldal, amellyel adatokat akarnak megszerezni tőlünk, vagy egy káros alkalmazás is letöltődhet az eszközünkre. A csalók QR-kódokat helyeznek el hamis weboldalakon vagy matricákon, és különböző trükkökkel arra ösztönzik az embereket, hogy azokat olvassák be telefonjaikkal. Nem ritka, hogy a támadók legitim felek hírnevére támaszkodnak, és hivatalos plakátokon, posztereken vagy szórólapokon lévő törvényes QR-kódokat cserélik le sajátjukra.
A kiberbűnözők által létrehozott QR-kód egy adathalász webhelyre vezet, ezek a hamis oldalak megtévesztésig hasonlítanak például egy online bank vagy fizetési szolgáltatók bejelentkezési oldalára.
Ha az áldozatok itt jelentkeznek be, könnyen elveszíthetik pénzüket vagy érzékeny adataikat.
Mit tehetünk?
A szakértők szerint általánosságban véve ugyanazok a tanácsok érvényesek a QR-kódos csalásra, mint az adathalászatra, hiszen mindkettő adathalászat. Az ilyen esetek kivédére az alábbiakat tanácsolják:
- Használjunk kétlépcsős vagy biometrikus azonosítást, legyünk óvatosak, mielőtt QR-kódot olvasunk be, és figyeljünk a megjelenő linkekre.
- Apple eszközökön a kamera alkalmazás jobb oldalán megjelenő ikonra koppintva, Google Lens esetén a képernyő közepén feltüntetve láthatjuk a linket.
- Az URL biztonságának ellenőrzésekor keressük a „https" protokollt, a domain névnek meg kell egyeznie a QR-kódot hirdető márkával vagy cégnévvel, és a webhely tartalmának azonosnak kell lennie a plakáton hirdetett tartalommal.
- Ha a céloldalon bejelentkezési űrlap jelenik meg, amely közvetlenül kéri személyes vagy banki adatainkat, jelszavainkat, zárjuk be az oldalt.
- Ezek mellett különösen legyünk óvatosak, ha az URL-t lerövidítették, mert a QR-kódok esetében nincs ok a linkek rövidítésére.
- Ehelyett használjunk keresőmotort vagy hivatalos weboldalt. Óvjuk telefonunkat víruskereső telepítésével, amely figyelmeztet, ha rosszindulatú QR-kódot olvas be.
Fontos, hogy mérjük fel a QR-kód helyét: egy jól ismert létesítményben vagy az utcán található, ahol bárki hozzáférhet? A csalók hajlamosak QR-kód matricákat ragasztani meglévő kódokra, hogy becsapják áldozataikat.
A nyilvános környezetben lévő QR-kódokat könnyebb manipulálni, ezért mindig legyünk fokozottan óvatosak, mielőtt beolvassuk őket. A plakáton vagy táblán lévő QR-kód beolvasása előtt végezzünk gyors fizikai ellenőrzést. Figyeljünk az apró részletekre, például a nyelvtani hibákra. Ne olvassunk be nyilvánvalóan gyanús forrásból származó QR-kódokat, és soha ne tegyünk közzé QR-kóddal ellátott dokumentumokat a közösségi médiában.
(Kiemelt képünk illusztráció. Fotó: Shutterstock)