W żadnym wypadku nie skanuj tego kodu QR!(0)

Ataki metodą influencerów i kody QR? Nie sądzę, aby jeszcze się tym bawili, ale ta metoda może okazać się kolejną sztuczką stosowaną przez cyberprzestępców.

CERT Orange Polska poinformował o dość nietypowym oszustwie z wykorzystaniem kodów QR i aplikacji Google News. Oszustwo to różni się od ataków za pośrednictwem SMS-ów lub e-maili, z którymi Polacy spotykają się na co dzień, ale może zyskiwać na popularności pomimo dodatkowych wysiłków oszustów.

Do CERT Orange Polska trafiło zgłoszenie od klienta, proszącego o wyjaśnienie naliczenia wysokich opłat za usługi dodatkowe. Zgłaszający przysłał od razu podejrzane w jego opinii zrzuty ekranu z prowadzonej kilka tygodni wcześniej korespondencji za pośrednictwem platformy Discord. Rozmówcą miał być influencer i streamer Panda Gaming.

Podający się za niego oszust obiecał rozmówcy, że w zamian za zagłosowanie w ankiecie na kanał Panda Gaming przekaże mu karnet i gemy do gry Brawl Stars, ułatwiające rozgrywkę. Rozmówca dał się skusić, więc oszust poprosił o znalezienie aplikacji Wiadomości Google, otwarcie menu z profilem i wyszukanie tam opcji „Parowanie urządzenia”.

Fałszywy influencer poinstruował zaatakowanego, by włączył dostępny tam skaner kodów QR i zeskanował przesłany kod. Rozmówca, skupiony na otrzymaniu prezentu od rzekomego influencera nie zwrócił uwagi, że kod, który mu podaje, nie ma nic wspólnego z ankietą.

O co chodzi w przekręcie na kod QR?
Jak wyjaśnia CERT Orange Polska, kod QR, który osoba podszywająca się pod influencera podsunęła nieświadomej ofierze, powoduje sparowanie aplikacji Wiadomości Google na telefonie ofiary z komputerem atakującego.

To wprowadzona już jakiś czas temu w Androidzie możliwość ułatwiająca podstawową interakcję telefonem bez odchodzenia od komputera. Jest to wygodne rozwiązanie, ale trzeba pamiętać, by nie skanować kodów QR podanych przez osoby trzecie.

Dzięki tej sztuczce oszust może uzyskać dostęp do wszystkich wiadomości tekstowych ofiary. W tym przypadku atakujący kupuje usługę online i obciąża zaatakowane konto. Aby potwierdzić, wystarczy wprowadzić kod z wiadomości SMS. Łatwo sobie wyobrazić, że ten sam mechanizm jest wykorzystywany również do innych oszustw.

YouTuber prowadzący kanał Panda Gaming wiedział już, że oszuści podszywają się pod niego i opublikował film ostrzegający przed wyłudzeniami. Jak jednak podkreśla CERT Orange Polska, jest to tylko jeden zgłoszony przypadek, ale możliwe jest, że oszuści wykorzystają marki osobiste innych influencerów.