5 tipů, jak se vyhnout čtení podvodných QR kódů

Stejně jako roste obliba čtení QR kódů, rostou i pokusy o zneužití, kdy se pachatelé s pomocí podvodného QR kódu pokouší nasměrovat např. na webovou stránku, prostřednictvím které pak mohou získat citlivé osobní údaje nebo nainstalovat malware. Jedná se často o webové stránky, které na první pohled vypadají legitimně.

Podvodníci v tomto případě jednoduše využívají toho, že samotné lidské oko přečíst QR kód nedokáže. Musíme tedy spoléhat na to, že nás kód zavede na správnou URL adresu nebo dělá opravdu to, co dělat má. Naštěstí lze těmto útokům jednoduše předcházet.

Co se může stát, když naskenujete „podvodný“ QR kód?

QR kód sám o sobě nebezpečný není, ale už v okamžiku naskenování může nastat několik situací:

Můžete otevřít phishingovou stránku, která bude vyžadovat citlivé údaje jako jsou kontaktní informace, datum narození, číslo kreditní karty apod. Phishing je obvykle spojen s výzvami adresáta k zadání nebo aktualizaci osobních údajů. Tyto výzvy mohou být zaslány emailem, prostřednictvím instant „messaging“ služeb (WhatsApp, Messenger atp.) nebo i dopisem. Útočník se může tvářit jako legitimní poskytovatel služby.
Oskenováním neznámého QR kódu můžete do svého zařízení stáhnout škodlivý software, který může získat přístup k citlivým údajům i souborům.
V krajním případě může po oskenování QR kódu dojít k odeslání e-mailu z vašeho účtu, a to bez vašeho vědomí.

V případě potřeby se vždy můžete přímo s poskytovatelem služby spojit (např. telefonicky na čísle uvedeném na oficiální webovém stránce) a prověřit, zda je odeslaná zpráva skutečně od nich.

Jak mohou vypadat typické podvody s QR kódem:

QR kódy přímo v e-mailu

Většina e-mailových služeb dokáže detekovat škodlivé odkazy i přílohy. V případě QR kódu to však neplatí, a toho v současnosti podvodníci využívají. Tváří se např. jako poskytovatelé služby, banky nebo obchodníci a posílají výzvy k platbě, aktualizaci údajů, informaci o neúspěšné platbě atp. Přímo v e-mailu je pak vložen QR kód, který má „pomoci“ dokončit transakci, upravit údaje atp.

E-mail se může týkat i doručení zboží, které jste si neobjednali nebo nějakého Vašeho účtu, který nemáte, nikdy jste se u poskytovatele neregistrovali, nebo jste jej v poslední době nepoužili. Většinou se jedná o nevyžádanou poštu.

Typické příklady phishingových emailů:

Objednaná zásilka nemohla být doručena, adresát si má zásilku přeplánovat (obvykle se jedná o neznámou zásilku, kterou si adresát nikdy neobjednal).
Poskytovatel služby (banka, telefonní operátor, dodavatel energií atp.) pošle email, že nastal problém s účtem a je potřeba potvrdit informace.
Přijde email od poskytovatele, že byla zaznamenaná podezřelá aktivita a je potřeba změnit heslo.

Pokud obdržíte neobvyklý e-mail nebo dopis s QR kódem nebo odkazem, kontaktujte firmu a ověřte si, zda je zpráva legitimní.

QR kódy zaslané poštou

Podvodníci mohou fyzickou poštou zaslat nevyžádané propagační letáky, jejichž součástí bude QR kód, který by vás mohl navést na phishingovou stránku. S nevyžádanou poštou proto nakládejte stejně jako s e-maily. Pokud odesílatele neznáte, neskenujte QR kódy na propagačních materiálech. Pokud se jedná o legitimní společnost, která nabízí pozvánku, slevu, účast v soutěži atp., můžete jednoduše tuto skutečnost prověřit přímo na webu nebo kontaktováním společnosti.

QR kódy zasílané přes sociální média

Podvodníci v takovém případě obvykle využívají hacknuté účty sociálních médií. Snadno se tak stane, že vám přijde nějaký lákavý text s kódem i od někoho, koho můžete mít v přátelích. Když vám totiž přijde zpráva od někoho, koho znáte, je vyšší pravděpodobnost, že QRko oskenujete. Může se například jednat o text „Koukni na fotku, co jsem právě objevil“ a k ní přiložený QR kód.

Pokud vám tedy nečekaně v soukromé konverzaci přistane QR kód, kontaktujte dotyčnou osobu mimo platformu a ujistěte se, že účet nebyl hacknut. Dalším typickým příkladem může být zaslání QR kódu při obchodování na Facebook marketu. QR kódy zde nejčastěji slouží k phishingu (získání citlivých osobních údajů, zejména pak údajů o platební kartě nebo bankovním účtu).

Jak se vyhnout podvodným QR kódům

Na obrázku je shrnutí 5 hlavních tipů, jak se vyhnout čtení podvodného QR kódu, který více rozebíráme v článku: vždy zkontrolujte náhled URL adresy, zaměřte se na kvalitu obsahu, neskenujte přelepené QR kódy na veřejných místech, nestahujte neznámé aplikace a pravidelně aktualizujte své zařízení

1. Zkontrolujte odkaz

Při skenování QR kódu na chytrém telefonu by se měl zobrazit náhled adresy URL. Právě URL adresa může hodně napovědět o tom, že se jedná o legitimní web. Phishingové URL adresy mají často v URL nějaký překlep. Například Raifeisenbbank místo Raiffeisenbank atp. Pro čtení URL použít můžete i některou z námi doporučených a ověřených aplikací, na kterou odkazujeme v článku níže: „Čtečka QR kódu a jak naskenovat QR kód“. V žádném případě nestahujte pro čtení QR kódu neznámou aplikaci.

2. Zaměřte se na obsah stránky

Obsahuje web gramatické a pravopisné chyby? Jsou zde nekvalitní obrázky a překlepy? Odkaz začíná http místo https? Vnímáte vzhledové odlišnosti od běžného webu poskytovatele? Jedná se o typické znaky podvodného webu. V případě pochybností proto vždy kontaktujte společnost.

3. Neskenujte přelepené kódy

Pokud skenujete QR kód na veřejném místě, ujistěte se, že není přelepený. Podvodníci mohou například přelepit původní QR kód a tím navést na jinou stránku. Obecně platí, abyste nikdy neskenovali a ani neotvírali QR kódy od neznámých firem nebo lidí.

4. Nestahujte neznámé aplikace na skenování QR kódu

Jak jsme již zmínili výše, nikdy nestahujte neznámé aplikace. Někteří hackeři vytváří aplikace na skenování QR kódu, díky kterým pak mohou získat osobní údaje nebo nainstalovat do telefonu škodlivý software.

5. Aktualizujte své zařízení

Pravidelně aktualizujte operační systém ve svém zařízení, abyste jej lépe chránili před útočníky. Také mějte zabezpečené své online profily pomocí silných hesel a více faktorového ověřování.

Související články:

< předchozí článek - další článek >