Atak QR z wykorzystaniem instytucji Państwowych
Niedawno w naszych social mediach wrzuciliśmy informację o tym jak to w kraju nad Wisłą coraz popularniejsze stają się ataki z wykorzystaniem kodu QR. Najciekawsze, że przestępcy zaczęli „z grubej rury”, czyli wykorzystali do tego szanowaną instytucję jaką jest Krajowa Administracja Skarbowa (KAS).
Zasada ataku była bajecznie prosta. Mandat karny za wycieraczką auta z informacją o możliwej płatności w ciągu 7 dni za pomocą „fałszywego” kodu QR. Dla uśpienia czujności, logo KAS oraz flaga naszego kraju. W treści oczywiście powołanie się na jakiś artykuł prawa o ruchu drogowym.
![](https://www.brhalszka.pl/wp-content/uploads/2024/12/mandat-kas-falszywy-kod-qr-228x300.jpg)
Na pierwszy rzut oka ktoś mało techniczny może się na tym złapać, ale po chwili gdy już ochłoniemy po takiej nowince, widać wtopę którą wielu opisujących sytuację przeoczyło (ale z ręką na sercu nie weryfikowałem każdej strony w sieci która o tym pisała) – wezwanie to NIE MA DATY WYSTAIWENIA. Jeżeli nie ma daty, skąd wiadomo kiedy ktoś to wystawił?
Druga sprawa, nie stosuje się u nas kodów QR czy skróconych linków (do łatwiejszego wklepania w przeglądarkę) do płatności.
Trzecia rzecz, warto pokusić się o sprawdzenie na jaki artykuł powołuje się urząd go wystawiający. Tutaj mamy Art. 47. – [Zatrzymanie lub postój na drodze dla pieszych] – Prawo o ruchu drogowym, co może nie być jednoznaczne z miejscem w którym go mogliśmy otrzymać. Bo jak wytłumaczyć taki mandat, gdybyśmy zastali go za szybą na wyznaczonym parkingu pod sklepem? Wiele osób, po otrzymaniu takiego wezwania nie będzie „trzeźwo” myśleć i może być skora zapłacić by nie mieć dalszych kłopotów.
Kolejny detal to paragraf na który się powołują w mandacie – jest wydrukowany. Wychodzi na to, że osoba wystawiająca taki dokument, łapie wyłącznie przestępców w tym konkretnym przypadku łamania przepisów. Chyba, że ma ze sobą cały stos papierków na różne okazje. Ewentualnie z drukarką mobilną, jednak to jest jeszcze bardziej mało prawdopodobne 🙂
I na koniec, ZERO informacji o osobie która to wystawiła. W takiej formie jaką widać na zdjęciu, wygląda jak masowo wydrukowana ulotka. I tym też jest w rzeczywistości.
Jeżeli masz jakiekolwiek wątpliwości co do otrzymanego mandatu, najlepiej skontaktuj się telefonicznie z instytucją która go wystawiła. Tam dostaniesz potwierdzenie, czy jest to prawdziwy mandat czy jakaś próba oszustwa.
Korzystając z okazji, pragnę przypomnieć, że mandat jest kosztem jedynie dla naszej kieszeni. Z punktu widzenia prawa, jako biuro rachunkowe, nie możemy go w wrzucić w tzw. koszty prowadzenia działalności, mimo zakamuflowania nam czasem takich papierków w stosie dokumentów. Ot taka mała dygresja do tego co można spotkać w naszej pracy 🙂
I to było by tyle. Temat Quishingu będzie się tylko nasilał i przybierał inne formy. W dalszej części wpisu skupię się jednak na tym aby przybliżyć Wam czym jest kod QR, jakie formy może przybrać itp.. Temat będzie mocno podstawowo omówiony, nie miejsce i czas aby zagłębiać się bardziej w ten temat, priorytet ma zrozumienie mojego wpisu przez osoby nie techniczne.
Podstawowa wiedza na temat kodów QR
Co to jest kod QR (ang. Quick Response)?
Jest to grafika, najczęściej w formie kwadratu, w której ukryta jest treść zawierająca jakieś hasło marketingowe, link do strony www itp. W większości przypadków jest on monochromatyczny ale może też być kolorowy. Celowo napisałem, że występuje najczęściej w formie kwadratu gdyż bywa niejednokrotnie ukryty w jakiejś grafice i nie do końca wygląda to na typowy kwadrat. Idealnym przykładem jest stara grafika reklamowa Coca Coli.
![](https://www.brhalszka.pl/wp-content/uploads/2024/12/schowany-kod-qr.webp)
Jakie są rodzaje kodów QR?
Dla lepszego zobrazowania tematu, przedstawiam Wam 3 wygenerowane przeze mnie kody QR które przekierują Was na naszą stronę główną – www.brhalszka.pl.
Jak sami widzicie, wygląd QR może przybrać różne formy – od zwykłego, typowego kodu (po lewo), po takie z napisem czy nawet z opcją umieszczenia własnego logo. O pełnej gamie kolorystyki nawet nie wspominam. Ale do tego wszystkiego jest jedna uwaga – to, że jest pokazane jakieś logo w grafice QR, nie oznacza wcale, że kod jest w pełni bezpieczny i można „używać” go bez wahania. Logo naszej firmy można podmienić na dowolną grafikę a odnośnik ukryty w takim kodzie, może Was prowadzić kompletnie gdzieś indziej.
Jako, że przykłady praktyczne są najlepsze, sprawdźcie sobie poniższe kody. Ten po lewo to wysyłka SMS-a na nasz biurowy numer telefonu z podziękowaniem za wpis a po prawo link do naszego FB.
Dr. Albert Moukheiber napisał kiedyś „Łatwiej oszukać ludzi, niż przekonać ich, że zostali oszukani” i jest to smutna prawda. Wielu, mniej świadomych technicznie osób, jeżeli zobaczy na takim kodzie QR dodatkowo logo np. Policji, Straży miejskiej czy jakiegoś urzędu szybciej połknie przynętę nie próbując nawet tego przemyśleć. Najgorsze jednak jest to, że wielu oszukanych nawet nie zgłasza tego nigdzie bo wstydzą się złapania w pułapkę i przez takie postępowania łowy przestępców są bardziej udane.
Korekcja błędów QR będąca zaletą i wadą
Kody QR mają możliwość korekcji błędów w jakimś stopniu, dzięki czemu są częściowo odporne na uszkodzenia. W zależności od ilości danych, taki kod może mieć niemal 1/3 pojemności przeznaczoną na ew. korekcję danych by zapewnić możliwości odczytu po ewentualnym uszkodzeniu. Tak więc jeżeli jakiś gagatek zostawi na przystanku naklejkę z linkiem do szkodliwego oprogramowania, ktoś to sprawdzi i kierowany dobrą chęcią uszkodzi nieco naklejkę by inni się nie nabrali, może okazać się, że nic to nie da. Gdyż kod nie został uszkodzony w miejscach newralgicznych, a co za tym idzie, dalej jest w pełni funkcjonalny.
Jak działa kod QR?
Po wygenerowaniu konkretnego kodu-treści, udostępniamy go bliskim w wiadomości MMS, komunikatorze czy w sieci w postaci wygenerowanej grafiki i już. Każdy kto będzie chciał z niego skorzystać przybliży aparat telefonu i zeskanuje widoczny kod. W niektórych telefonach skanowanie QR nie jest włączone fabrycznie w aparacie, na co warto zwrócić uwagę. Jeżeli nie macie takiej opcji to możliwe, że wasz smartfon jest nieco starszy technologicznie i nie obsługuje kodów QR z poziomu aparatu. Ratunkiem w takim wypadku są zewnętrzne aplikacje.
![](https://www.brhalszka.pl/wp-content/uploads/2024/12/qr.gif)
GIF znajdujący się powyżej jest własnością google.com i pochodzi z ich poradnika odnośnie skanowania kodów QR w telefonach z systemem Android.
Jak się zabezpieczyć przed fałszywymi kodami QR?
Nie da się. A czemu? Bo nie ma czegoś takiego jak „fałszywy kod QR”. Każdy kod jest prawdziwy, tylko treści czy linki w nim zawarte mogą być, delikatnie mówiąc, nieco dyskusyjne.
Najprościej jest nie skanować co popadnie, szczególnie treści z ulicy, ale ważne też aby nie popadać w paranoję. Jeżeli ciekawość weźmie górę, to po zeskanowaniu kodu i kliknięciu przypadkiem w zamieszczony tam link, bo my nic nie zrobiliśmy przecież, samo się klika 🙂 to, w wielu przypadkach, najlepiej nie podejmować żadnych interakcji z witryną. Najczęściej, aby wymusić okup stosowane są stare, ale sprawdzone, sztuczki psychologiczne typu:
- Działanie w ograniczonym czasie na podjęcie decyzji – pilna operacja (najczęściej dziecka) bo zaraz umiera. Dobrym przykładem jest seria badań nad tzw. efektem rozpoznawalnej ofiary. W skrócie – chętniej pomożemy konkretnemu przypadkowi który jest dobrze opisany czy zilustrowany niż wielu innym, ale anonimowym osobom. A jeszcze jak dodamy jako ofiarę dziecko to, niejako z automatu, mamy wizję bezbronnej i małej osoby przez co jesteśmy bardziej skorzy do pomocy
- Gra na emocjach typu zastraszanie, nadzieja na lepsze jutro – szybka opłata za mandat bo będziesz w BIK-u i nie dostaniesz kredytu itp. Opcjonalnie obietnica szybkiej wygranej bo „przypadkiem” wyskoczyło okienko iż jesteśmy 10000 klientem strony i tylko teraz mamy życiową okazję – zainwestuj 1000 zł i wyciągnij 100x tyle
- Fałszywa tożsamość – mega gwiazda prosi Cię o małą pomoc finansową bo jest aktualnie w dołku
- Okazja jedna na milion – Szejk odlicza swoje dni i chce, zgodnie z jego ostatnim życzeniem, kogoś obcego uszczęśliwić. Padło akurat na Ciebie (Ty farciarzu ;))
I aby była jasność – nie twierdzę, że pomoc jest zła, wręcz przeciwnie, ale jak chcecie to robić to są od tego dedykowane portale pokroju siepomaga.pl czy odpowiednie instytucje mające pod swoimi skrzydłami osoby którym potrzebna jest pomoc. Mała szansa, że ktoś naprawdę potrzebujący pomocy, będzie roznosił czy rozwieszał ulotki z kodem QR do własnego numeru konta. A jeżeli nawet tak się zdarzy i faktycznie ktoś rozwiesi ulotkę z prośbą o pomoc przez wpłatę, a link będzie ukryty pod kodem QR, to szczerze zalecam daleko idącą ostrożność. Prze wiele lat pracy biura widziałem setki ulotek z prośbą o pomoc, w okresie PIT-ów jest widoczne nasilenie takich próśb, ale stosowanie w nich kodów QR można ograniczyć do małego procenta, przysłowiowej granicy błędu. A nawet jak się trafiają, to są one częścią wiadomości e-mail tj. PDF, grafika gdzie mamy na tacy dane osoby która prosi o wsparcie finansowe – KRS, nazwa fundacji oraz imię i/lub nazwisko.
Co może wyrządzić niedobrego kod QR
Instalacja szkodliwego oprogramowania na naszym telefonie. Efekty:
- Wszystko co wpiszemy w telefonie będzie wysyłane do oszustów. Hasła do banku, prywatne wiadomości itp. nie będą już tajemnicą
- Gdy dostanie bardziej newralgiczne dane, np. PESEL, jest szansa, że weźmie w banku kredyt na nasze dane
- Przejęcie kont społecznościowych do których się logujemy i szantaż w zamian za odzyskanie do nich dostępu
- Wysyłka tzw. SMS PREMIUM które bywają bardzo kosztowne
- Dostępu do kamery i głośnika
Mądry po szkodzie
Dmuchając jednak na zimne, dla spokoju ducha, jeżeli już zdarzyło sie Wam klikać na witrynę po przeniesieniu z kodu QR to polecam przeskanować system jakimś sprawdzonym i pewnym programem antywirusowym czy antyspyware np. ESET. Czasami wiele rzeczy dzieje sie w tle i po kliknięciach w takie linki możemy „wyklikać” nieproszonego gościa naszym smartfonie. Do samego skanowania, prewencyjnie, co jakiś czas idealnie sprawdzi sie wersja darmowa wielu programów, jeżeli jednak chcemy zwiększyć bezpieczeństwo i mieć ochronę w czasie rzeczywistym, trzeba wydać nieco grosza na płatne subskrypcje.
Uprzedzając klasyczne pytanie – jaki antywirus jest najlepszy? Nie mam dobrej wieści, jednoznacznej odpowiedzi nie udzieli Wam nikt. Ile osób, tyle zdań. Sam prywatnie interesując się tematem zmieniałem oprogramowania przez ostatnich kilka lat i dopiero po pewnym czasie znalazłem sowich faworytów. Czy są najlepsi? Nie wiem, ja mam do nich nieco większe zaufanie niż do reszty.
Jeżeli chcecie sobie wyrobić własne i mieć jakiś punkt odniesienia antywirusów „łindołsowych”, polecam zerknąć tutaj. Czołówka nieco zmienia się niemal co test i nie jest to przypadek. Czasami najlepszy wynik może być kwestią konkretnych sygnatur, ustawienia i działania heurystyki czy nawet wersji oprogramowania i zmian w silniku skanującym. Innymi słowy, za dużo czynników zmiennych aby jednoznacznie podpisać się pod stwierdzeniem, że produkt firmy X jest najlepszy. Mniej ryzykowne jest stwierdzenie iż produkt X jest najlepszy na chwilę obecną. Jednak ona szybko mija a czas ciągle płynie…
Na pewno polecam z dystansem podchodzić do wpisów pokroju TOP 5/10 najlepszych antywirusów, ranking antywirusów (i tutaj dodajcie sobie aktualny albo przyszły rok by lepiej wypozycjonować wpis w wynikach organicznych Google). Jak przejrzycie sobie kilka takich witryn możecie zobaczyć wspólne cechy wskazujące na reklamę a nie porady od serca. Co powinno zwrócić Waszą uwagę:
- Nie ma żadnych testów praktycznych tego oprogramowania. Próbek w treści nie stwierdzono, a jedynie puste slogany jakie te antywirusy są świetne. Skąd więc wiedza jaki program jest najlepszy jeżeli żaden nie został przetestowany w boju?
- Linki afiliacyjne. Jeżeli link do zakupu oprogramowania jest dziwnie długi bądź bloker reklam zatrzymuje Wam ładowanie strony docelowej tzn. że strona (prawdopodobnie) zarabia na polecaniu produktów (opcjonalnie to scam). Czysto teoretycznie witryna powinna Was informować o zarobku za zakup z ich linków na stronie O MNIE, w stopce itp.. O ile jeszcze będą na takiej witrynie jakieś testy i omówione wyniki to ok, macie jakieś rozeznanie w temacie. Jednak bez nich to kolejna domena do zarabiania na ludziach bez konkretnego sprawdzenia oferowanego oprogramowania
- Bywają przypadki, że w takim rankingu znajdą się linki zakupowe tylko do nielicznych produktów. Czemu? Bo blog z którego pochodzi lista linkuje wyłącznie do własnego e-sklepu, a ten nie mając w ofercie każdego oprogramowania nie zarobi na jego poleceniu i stąd też próżno szukać choćby odnośnika do strony producenta (na której moglibyście dokonać zakupu). Wiarygodny ranking, nie? :>
- Wrzucanie do jednego worka (rankingu) antywirusa, pakietów pokroju Internet Security czy antywirusa dla urządzeń mobilnych. Mydło i powidło.
- Antywirus, jak sama nazwa wskazuje, ma za zadanie ochronić nas przed szkodliwym oprogramowaniem
- Pakiet IS (Internet Security / Total Security / Ultimate itd.) ma powyższego antywirusa plus Firewall-a (zapora sieciowa) będąca niejednokrotnie pierwszą linią obrony przed atakami z sieci. Ponadto może on być wyposażony w:
- moduł antyspyware
- niszczarkę plików do bezpowrotnego ich kasowania
- VPN-a
- Ochronę poczty
- AntySpam
- Menadżer haseł
- Klawiaturę ekranowa
- Bezpieczną przeglądarkę np. do transakcji w banku czy zakupów
- Szyfrowanie dysku
- Piaskownicę (programy uruchamiane są w specjalnym środowisku. Gdyby okazały się wirusem, nic się nie powinno stać w systemie)
- Współprace z pakietem MS Office 365
- Weryfikację stron www poprzez wtyczkę do przeglądarki
- Kontrolę rodzicielską
- monitoring DarkWeb
- Kopie zapasową lokalnie i/bądź w chmurze
- Dysk ratunkowy do bootowania (uruchamiamy z niego awaryjnie system)
- Ochrona portfela do kryptowalut
- Ochrona urządzenia przed kradzieżą
- Zabezpieczenie przed nieuprawnionym użyciem mikrofonu i kamery
- Wyszukiwanie luk w oprogramowaniu
- Optymalizację systemu (bardzo dyskusyjna sprawa z ich realnymi wynikami poprawy wydajności naszego komputera)
- Ochrona prywatności – w większości jest to kasowanie plików temp, ciasteczek, ostatnio uruchamianych programów itd.
- …i pewnie wiele innych. Zawartość takiego oprogramowania IS będzie różna dla każdego producenta i pewnie nazewnictwo może być inne, ale w wielu przypadkach model działania jest ten sam.
- Antywirus dla urządzeń mobilnych – okienek (Windowsa) nie ochroni, siłą rzeczy 🙂
Nieco się zagalopowałem z tymi programami, gdyż docelowo były omawiane telefony i ich konkretna ochrona, ale może powyższe komuś się przyda.
Tak więc co wybrać? Polecam zasugerowanie się wcześniej podanym portalem i wyborem czegoś dla siebie. Programy są różne, wiele z nich ma okres testowy i warto zmieniać je po wykorzystaniu czasowo dostępnej pełnej funkcjonalności by sprawdzić czy nam pasuje i na tej podstawie wybrać swojego faworyta. W przypadku systemu Windows 10 i 11 polecany jest Windows Defender wbudowany w system. I coś w tym jest. W przypadku użytkowników prywatnych którzy patrzą gdzie klikają, uważam, że może zdać egzamin. Dla firm i osób działających intensywnie w sieci, moim zdaniem, pakiet IS to niezbędne minimum.