Μια νέα μορφή διαδικτυακής απάτης έχει αρχίσει να εξαπλώνεται και στην Ελλάδα, καθώς οι επιτήδειοι εκμεταλλεύονται την αύξηση της χρήσης του QR code. Το quishing, όπως ονομάζεται η νέα απάτη εις βάρος των πολιτών, χρησιμοποιεί κακόβουλους κωδικούς QR, που παραπέμπουν σε ψεύτικους ιστοτόπους, οδηγώντας τους χρήστες να κατεβάσουν κακόβουλο λογισμικό ή να αποκαλύψουν ευαίσθητες πληροφορίες, όπως είναι οι τραπεζικοί κωδικοί και τα στοιχεία λογαριασμών.
Πώς λειτουργεί όμως αυτή η νέα διαδικτυακή απάτη; Οι επιτήδειοι τοποθετούν με δικά τους αυτοκόλλητα αυτούς τους κωδικούς σε χώρους εστίασης, ψεύτικες κλήσεις στάθμευσης, email ή ακόμη και πάνω από νόμιμες αφίσες, εκμεταλλευόμενοι την εμπιστοσύνη στους κωδικούς QR για γρήγορη πρόσβαση στους συνδέσμους. Οι «κωδικοί ταχείας απόκρισης» (Quick Response Codes) χρησιμοποιούνται ολοένα και περισσότερο τα τελευταία χρόνια, καθώς η σάρωσή τους με την κάμερα ενός κινητού μπορεί να οδηγήσει απευθείας σε πληροφορίες που ζητούν οι χρήστες. Ετσι, αντικαθιστώντας έναν υπάρχοντα QR code με τον δικό τους, οι άνθρωποι πίσω από τις απάτες επιχειρούν να αποκτήσουν πρόσβαση σε δεδομένα που βρίσκονται στα κινητά τηλέφωνα.
«Οι δράστες αντικαθιστούν ή διακινούν μέσω QR codes ψεύτικους κωδικούς που όταν τους σκανάρεις οδηγούν σε κακόβουλες ιστοσελίδες, με στόχο την υποκλοπή προσωπικών δεδομένων, τραπεζικών στοιχείων ή την εγκατάσταση κακόβουλου λογισμικού, το οποίο για παράδειγμα μπορεί να επιτρέψει την παρακολούθηση ενός κινητού τηλεφώνου.
Το quishing είναι ύπουλο, διότι ο χρήστης δεν βλέπει τον κίνδυνο πριν πατήσει τον σύνδεσμο. Σε λίγο θα γίνει μάστιγα», δηλώνει στη Realnews ο ιδρυτής του Ινστιτούτου Διεθνούς Κυβερνοασφάλειας, Μανώλης Σφακιανάκης. Το quishing έχει κάνει την εμφάνισή του στη χώρα μας προκαλώντας έντονη ανησυχία σε αρκετούς χρήστες. Τους τελευταίους μήνες στην Ελλάδα έχουν αναφερθεί αρκετά περιστατικά με τους χρήστες να καταγγέλλουν ότι έπεσαν θύματα κακόβουλων κωδικών.
«Υπάρχει καταγγελία πολίτη που όταν σκάναρε έναν QR, άμεσα του εμφανίστηκε σελίδα γνωριμιών με συνδρομή. Αλλος κατήγγειλε ότι μόλις σκάναρε QR σε ιστοσελίδα παραπέμφθηκε σε κρυφές κάμερες με χρέωση, ενώ υπάρχει και περίπτωση πολίτη που όταν προχώρησε στο σκανάρισμα ενός κωδικού, αυτομάτως το τηλέφωνό του μπλόκαρε και στη συνέχεια έσβησε. Στις καταγγελίες περιλαμβάνεται και άλλη περίπτωση που ο χρήστης μετά το σκανάρισμα παραπέμφθηκε σε στοιχηματική εταιρεία με δώρο 1.000 ευρώ για να παίξει σε τυχερά παιχνίδια», σημειώνει ο Μ. Σφακιανάκης.
Κίνδυνος
Το quishing είναι ιδιαίτερα επικίνδυνο καθώς έχει παρατηρηθεί σε χώρους καθημερινής χρήσης, όπως πάρκινγκ, εστιατόρια, δημόσιες υπηρεσίες και μέσα μεταφοράς. Οι επιτήδειοι εκμεταλλευόμενοι τους κωδικούς QR, που εμφανίστηκαν κυρίως την εποχή της πανδημίας του κορωνοϊού προκειμένου να μην υπάρχει άμεση επαφή με χαρτιά, φυλλάδια και καταλόγους εστιατορίων, αντικαθιστούν τους νόμιμους κωδικούς με ένα απλό αυτοκόλλητο που οδηγεί σε παράνομες διαδικτυακές πλατφόρμες.
Σε πολλές χώρες, απατεώνες έχουν τοποθετήσει ψεύτικους QR κωδικούς πάνω σε πραγματικούς (π.χ. μενού εστιατορίων), οδηγώντας χρήστες σε σελίδες που ζητούσαν στοιχεία πληρωμών – με αποτέλεσμα την κλοπή τραπεζικών δεδομένων. Ιδιαίτερα διαδεδομένο είναι το φαινόμενο σε χώρους στάθμευσης όπου κακόβουλοι κωδικοί QR τοποθετήθηκαν πάνω σε νόμιμους, με στόχο να κατευθύνουν τα θύματα σε ψεύτικες σελίδες πληρωμών και να αποσπούν στοιχεία καρτών. Την ίδια στιγμή, έχουν γίνει και απάτες, στις οποίες ο QR code εμφανίζεται σε email ή μήνυμα SMS και στέλνει τον χρήστη σε σελίδα που παριστάνει «επίσημη σύνδεση» σε υπηρεσίες ή τράπεζες για υποκλοπή credentials. Υπάρχουν τεκμηριωμένες εκστρατείες που μιμούνται επίσημες κρατικές υπηρεσίες (π.χ. δηλώσεις επιχορηγήσεων) για να παραπλανήσουν χρήστες να σκανάρουν QR και να δώσουν τα στοιχεία τους.
Ενδεικτικά στη Μεγάλη Βρετανία αναφέρθηκαν εκατοντάδες περιπτώσεις quishing με συνολικές απώλειες άνω των 3,5 εκατ. ευρώ μέσα σε έναν χρόνο από χρήστες που σάρωσαν κακόβουλους κωδικούς και έχασαν χρήματα.
«Οι επιθέσεις quishing δεν είναι θεωρητικές – συμβαίνουν καθημερινά σε εστιατόρια, πάρκινγκ, μηνύματα ηλεκτρονικού ταχυδρομείου και δημόσιες τοποθεσίες. Ο κοινός παρονομαστής είναι πως οι απατεώνες εκμεταλλεύονται την εμπιστοσύνη στον QR κωδικό για να παραπλανήσουν τα θύματα και να υποκλέψουν πληροφορίες ή χρήματα», επισημαίνει ο Μ. Σφακιανάκης.
Για να προστατευθούν οι πολίτες απαιτούνται η αποφυγή σάρωσης άγνωστων QR codes, ο έλεγχος της διεύθυνσης της ιστοσελίδας στην οποία παραπέμπουν οι κωδικοί και η χρήση ενημερωμένων συστημάτων ασφαλείας. Η ενημέρωση των πολιτών είναι σήμερα το ισχυρότερο όπλο απέναντι σε μια απειλή που εξελίσσεται ταχύτερα από την αντίληψή μας.
