Podvody s QR kódy: Falešné odkazy míří na platební údaje i SMS služby

QR kódy se během posledních let staly běžnou součástí každodenního života. Najdeme je v restauracích, obchodech, na plakátech i parkovacích automatech. Právě tahle jednoduchost a rychlost, na kterou jsme si zvykli, ale začíná nahrávat i podvodníkům, kteří ji dokážou zneužít.

Termín „quishing“ (spojení slov QR a phishing) už není jen strašákem z kyberbezpečnostních konferencí. Je to realita, která se právě teď šíří Českem. Stačí jeden nepozorný pohyb rukou, dvě vteřiny na naskenování a váš bankovní účet nebo vyúčtování u operátora může zaplakat.

Jak vypadá moderní „digitální kapsářství“?

Zákeřnost tohoto podvodu spočívá v jeho jednoduchosti a v tom, že útočí na místech, kde se cítíme bezpečně. Podvodník nepotřebuje složité hackování vašich hesel. Stačí mu obyčejná samolepka.

Představte si situaci: Přijdete k parkovacímu automatu nebo v obchodním centru uvidíte reklamu na slevový kupón. Vidíte QR kód, který vypadá jako součást původního plakátu nebo stroje. Jenže ve skutečnosti jde o falešnou nálepku, kterou podvodník přelepil přes originální kód. Vy jej v dobré víře naskenujete a v tu chvíli začíná hra o vaše peníze.

Místo oficiální stránky se vám otevře:

• Podvodná platební brána, která vypadá k nerozeznání od té skutečné, a vy do ní dobrovolně vyplníte údaje o své kartě.
• Návrh SMS zprávy, která se tváří jako potvrzení slevy nebo registrace, ale ve skutečnosti jde o aktivaci drahého týdenního předplatného (tzv. Premium SMS).
• Škodlivý software, který se vám nenápadně stáhne do telefonu a začne monitorovat vaše bankovní aplikace.

SMS past: Stačí jedno kliknutí a platíte

Jedním z nejčastějších scénářů, který aktuálně trápí uživatele v Česku, je zneužití SMS služeb. Po naskenování kódu se vám v telefonu automaticky otevře aplikace pro zprávy s předvyplněným textem typu: „Potvrďte svou slevu. Odesláním zprávy získáte výhodu.“ Lidé v rychlosti a ve shonu kliknou na tlačítko odeslat, aniž by si uvědomili, že právě potvrdili souhlas s odběrem služby, která je může stát stovky korun týdně. Tyto služby jsou často provozovány firmami se sídlem v zahraničí, což extrémně ztěžuje jakoukoli reklamaci.

Krutá realita: Proč je to tak nebezpečné?

Nemá smysl si nic nalhávat – proti tomuto typu podvodu se brání velmi těžko a má to svá temná negativa, o kterých se v letácích bank moc nepíše.

1. Důkazní nouze: Pokud dobrovolně naskenujete kód a poté sami potvrdíte odeslání SMS nebo platbu, banka i operátor se k věci často staví zády. Z jejich pohledu jste transakci autorizovali vy. Peníze jsou v drtivé většině případů nenávratně pryč.
2. Psychologický nátlak: Podvodníci využívají situací, kdy spěcháte. U parkovacího automatu, kde za vámi stojí řada aut, nebo v přeplněném obchodě, nemáte čas zkoumat, jestli na nálepce není podezřelý okraj.
3. Složitost zrušení: Jakmile se jednou k odběru „služby“ přihlásíte, zrušit ji bývá byrokratické peklo. Podvodníci schovávají instrukce pro odhlášení za drobné písmo, nefunkční odkazy nebo drahé linky.
4. Bezradnost policie: Jelikož škoda u jednotlivce často nepřesahuje hranici trestného činu a útočníci operují anonymně skrze servery po celém světě, vyšetřování těchto případů je pro policii extrémně náročné a málokdy vede k dopadení viníka.

Jak se nenechat napálit?

Nebezpečí sice číhá na každém kroku, ale to neznamená, že bychom se měli vrátit do doby kamenné a přestat QR kódy používat úplně. Stačí používat zdravý selský rozum a osvojit si pár základních pravidel:

• Zkontrolujte kód fyzicky: Než kód naskenujete, přejeďte po něm prstem. Pokud cítíte hranu nálepky nebo vidíte, že kód vypadá jinak než zbytek plakátu, neskenujte ho.
• Sledujte URL adresu: Moderní telefony vám před otevřením stránky ukážou náhled adresy. Pokud vypadá podezřele (shluk náhodných písmen, divná doména místo oficiálního názvu firmy), okamžitě z webu odejděte.
• Pozor na SMS zprávy: Pokud vás QR kód přesměruje do aplikace pro zprávy s předvyplněným textem, je to obrovský varovný signál. Žádná seriózní sleva ani informace o produktu nevyžaduje odesílání potvrzovacích SMS na krátká čísla.
• Používejte bezpečné skenery: Existují aplikace pro skenování QR kódů (např. od bezpečnostních firem jako Kaspersky nebo Norton), které odkaz nejdříve prověří v databázi hrozeb, než vám ho dovolí otevřít.
• Nastavte si limity: U svého operátora si můžete zablokovat tzv. Premium SMS a u banky nastavit nízké limity pro internetové platby. Je to nejjednodušší způsob, jak omezit případnou škodu na minimum.

Ostražitost je nová norma

QR kódy jsou skvělý sluha, ale v rukou podvodníků velmi zlý pán. Problémem není technologie samotná, ale naše slepa důvěra v to, co vidíme kolem sebe. V digitálním světě platí, že nic není zadarmo a ne každá „výhodná nabídka“ schovaná za černobílými čtverečky vám chce skutečně ušetřit peníze.