Quishing: Πληθαίνουν οι απάτες με τον κώδικα QR

Τα τελευταία χρόνια, κυρίως μετά το ξέσπασμα της πανδημίας, τα μικρά τετράγωνα με τα ασπρόμαυρα «πίξελ» έχουν γίνει μέρος της καθημερινότητάς μας. Τα QR τα βρίσκουμε σε ρεστοράν, σε ξενοδοχεία, στη δημόσια διοίκηση, στους δημόσιους φορτιστές ηλεκτρικών αυτοκινήτων, ακόμα και στα βιβλία που διαβάζουμε. Αν τα φωτογραφίσουμε με το κινητό μας μας οδηγούν απευθείας, δίχως πληκτρολογήματα, αντιγραφές ηλεκτρονικών διευθύνσεων και άλλες καθυστερήσεις σε μια χρήσιμη, κατά περίπτωση, ιστοσελίδα του Διαδικτύου.

Πιστωτικές κάρτες: Γίνονται εικονικές και προστατεύουν από τις online απάτες

Στα χέρια των παρανόμων, ωστόσο, τα απολύτως χρήσιμα και πρακτικά QR – «Quick Response», δηλαδή «γρήγορη απόκριση» – μετατρέπονται σε εργαλεία εξαπάτησης. Δίνουν στα φρικιά της ψηφιακής τεχνολογίας την ευκαιρία να αποκτήσουν πρόσβαση σε κωδικούς τραπεζικών λογαριασμών ή σε προσωπικά δεδομένα, ώστε να τα εκμεταλλευθούν ποικιλοτρόπως.

Με τα κακόβουλα QR που επικολλούν παντού οι κάθε λογής κυβερνοαπατεώνες ανατατευθύνουν τον ανυποψίαστο χρήστη σε αντίγραφα του ιστότοπου που θέλει να επισκεφθεί σκανάροντας τον κωδικό. Σε έναν πλαστό ιστότοπο δηλαδή. Στα μέσα Δεκεμβρίου, όπως γράφει η Κάρλα Πλομπ στον «Figaro», ένας κάτοχος ηλεκτρικού αυτοκινήτου φωτογράφισε τον κώδικα που βρήκε σε αυτοκόλλητο αναρτημένο σε υπαίθριο σταθμό φόρτισης προκειμένου να μεταβεί στην ιστοσελίδα της εταιρείας εκμετάλλευσης των φορτιστών και να πληρώσει.

Το πλαστό QR συνέδεσε τον ιδιοκτήτη σε έναν ιστότοπο όπου όντως πλήρωσε για τη φόρτιση. Τα χρήματα όμως δεν έφτασαν ποτέ στον προορισμό τους ενώ και το αυτοκίνητο έμεινε αφόρτιστο. Αντίθετα, οι χάκερ απέκτησαν πρόσβαση στον τραπεζικό λογαριασμό του ιδιοκτήτη EV, τον οποίο και «ξαλάφρωσαν» όσο μπόρεσαν.

Quishing όπως phishing

«Οι κίνδυνοι που αντιμετωπίζουμε με το ‘quishing’ είναι οι πανομοιότυποι με εκείνους του ‘phishing’. Η πρακτική συνίσταται στο να παρουσιάζονται οι κυβερνοαπατεώνες ως τρίτο μέρος (τράπεζα, τηλεπικοινωνιακός φορέας, εταιρεία) προκειμένου να ζητούν πειστικά από τον χρήστη του Διαδικτύου να κάνει κλικ σε έναν ιστότοπο και να πληκτρολογήσει κωδικούς πρόσβασης και password ή να αποκαλύψει πληροφορίες και προσωπικά δεδομένα», γράφει η ρεπόρτερ του «Figaro».

Σύμφωνα με έρευνα της εταιρείας Kaspersky, η οποία εμπορεύεται προϊόντα προστασίας από ιούς για ιδιώτες, το 61% των Ευρωπαίων έπεσαν το 2023 θύματα κάποιου είδους κυβερνοαπάτης. Εφέτος το ποσοστό αναμένεται να αυξηθεί στο 65%. Το πρόβλημα με τους κώδικες QR είναι ότι ο κόσμος τους εμπιστεύεται περισσότερο. Το αποτέλεσμα είναι μέσω αυτών ο χρήστης οδηγείται σε διαδικτυακές τοποθεσίες παραπλανητικές μεν αλλά σχεδόν πανομοιότυπες των νομίμων.

«Το φαινόμενο ονομάστηκε ‘κατοπτρισμός’. Το κακόβουλο λογισμικό καθιστά δυνατή την οιονεί τέλεια αναπαραγωγή των τοποθεσιών. Εάν ο χάκερ είναι ατζαμής τα σφάλματα στο αντίγραφο είναι ορατά. Αλλά αν είναι καλός ‘τεχνίτης’, δεν μπορούμε να διακρίνουμε καμία διαφορά», εξηγεί στη γαλλική εφημερίδα η Φεριέλ Μπουακάζ, καθηγήτρια-ερευνήτρια στον τομέα της κυβερνοασφάλειας στη Σχολή Μηχανικών Πληροφορικής και Ψηφιακών Τεχνολογιών (EFREI) του Πανεπιστημίου Paris II Assas του Παρισιού.

Απλή διαδικασία

«Μερικές φορές ο πλαστός ιστότοπος κατεβάζει κακόβουλο λογισμικό απευθείας στη συσκευή του χρήστη», σημειώνει η καθηγήτρια. Η Μπουακάζ τονίζει μάλιστα ότι οποιοσδήποτε μπορεί να δημιουργήσει έναν κωδικό QR, καθώς δεν χρειάζεται εκπαίδευση ή συγκεκριμένη γνώση. Η απάτη μπορεί να γίνει με έναν απλό ιστότοπο, επομένως «είναι η τέλεια τεχνολογία για εγκληματίες του κυβερνοχώρου».

Οι κώδικες QR τείνουν να εξελιχθούν σε μάστιγα για τους χρήστες των ψηφιακών διαδικτυακών μέσων, αφ’ ενός λόγω της ευκολίας που παρέχουν στους χάκερ και αφετέρου λόγω του ότι τα υποψήφια θύματα είναι λιγότερο καχύποπτα απέναντι σ’ αυτή τη μέθοδο εξαπάτησης συγκριτικά με τα SMS ή τα e-mails, για τα οποία έχουν ήδη γίνει από τις αρχές πολλές εκστρατείες ενημέρωσης και ευαισθητοποίησης του κοινού.

Ο κωδικός QR είναι ένα πολύ πρόσφατο τεχνολογικό εφεύρημα και αναπτύχθηκε ευρέως μετά την πανδημία Covid-19. «Κατά την παγκόσμια υγειονομική κρίση δημιουργήθηκε μια σχέση εμπιστοσύνης των πολιτών με τον κωδικό QR, καθώς συνηθίσαμε να τον βλέπουμε σε πιστοποιητικά εμβολιασμού, σε νοσοκομεία, σχεδόν παντού. Στην πανδημία μάς προστάτευσε από τον κορωνοϊό, αλλά τώρα μπορεί να μας εκθέσει σε ψηφιακούς ιούς», σημειώνει η καθηγήτρια του γαλλικού Πανεπιστημίου.

Πώς θα προστατευθούμε;

Πώς όμως θα προστατευθεί ο καταναλωτής με τόσα QR κολλημένα παντού για διαφημιστικούς ή πρακτικούς λόγους ακόμα και στις βιτρίνες των καταστημάτων ή τα ράφια των σούπερ μάρκετ; Πώς θα ξεχωρίσει τα γνήσια και τα ειλικρινή από τα κάλπικα και τα απατηλά;

«Κατ’ αρχάς δεν πρέπει να σκανάρουμε με το κινητό ό,τι βρούμε μπροστά μας στο δημόσιο χώρο. Αν για παράδειγμα βλέπουμε μια προσφορά στο σούπερ μάρκετ για έκπτωση 10% αν σκανάρουμε ένα QR και δώσουμε βέβαια κάποια προσωπικά μας δεδομένα, θα πρέπει να ρωτήσουμε πρώτα κάποιον υπάλληλο αν όντως ισχύει η προσφορά», σημειώνει η Φεριέλ Μπουακάζ του Assas.

Η ειδική επιστήμονας προσθέτει ότι είναι σημαντικό για τον καταναλωτή να επιβεβαιώνει την εγκυρότητα της ηλεκτρονικής διεύθυνσης που εμφανίζεται στο κινητό του τη στιγμή που σκανάρει έναν κώδικα QR. «Εν τέλει σε περίπτωση που κάποιος πέφτει θύμα των κυβερνοαπατεώνων νομίζοντας ότι έχει σκανάρει μια δημόσια υπηρεσία Υγείας, έναν ασφαλιστικό φορέα ή μια εμπορική επωνυμία, θα πρέπει αμέσως να έρχεται σε επαφή με τη διεύθυνση του εν λόγω δημόσιου φορέα ή της ιδιωτικής επιχείρησης για να λάβει εκείνη τα απαραίτητα μέτρα ασφαλείας», τονίζει η Μπουακάζ.

Θα πρέπει βεβαίως να ειδοποιήσει αμέσως την τράπεζά του και να αλλάξει κωδικούς πρόσβασης στους λογαριασμούς του.

«Τα κρούσματα αισχροκέρδειας και κάθε είδους κυβερνοαπάτης, ιδιαίτερα μέσω του quishing, αναμένεται να αυξηθούν δραματικά εφέτος στη Γαλλία λόγω των Ολυμπιακών Αγώνων που θα διοργανώσει η πόλη του Παρισιού το καλοκαίρι. Τα δολώματα θα είναι πολλά. Τόσο οι Γάλλοι πολίτες όσο και τα 15,3 εκατομμύρια ξένοι επισκέπτες που αναμένονται στην πρωτεύουσα θα κατακλυστούν από QR που θα διαφημίζουν τα πάντα, από δωρεάν συνδέσεις WiFi μέχρι εκπτωτικά εισιτήρια για τα ολυμπιακά αγωνίσματα», προειδοποιεί η ρεπόρτερ της «Le Figaro».