To, że jakiś atak jest teoretycznie możliwy, nie oznacza, że ktoś go stosuje. Widzieliście ostrzeżenia przed skanowaniem kodów QR na bankomatach? Opowiemy Wam dziś, jak policja i banki przyczyniły się do powstania fake newsa, który obiegł polskie media.
Pod koniec ubiegłego roku na stronie Związku Banków Polskich (ZBP) pojawił się Komunikat w sprawie skanowania przez użytkowników smartfonów kodów QR z naklejek bezprawnie umieszczanych na bankomatach, który umknął uwadze mediów. Niedługo potem informację o niemal identycznej treści opublikowały Polska Izba Informatyki i Telekomunikacji (PIIT) oraz Policja. Na tę ostatnią zaczęli powoływać się dziennikarze, którzy podłapali temat. Nawet w chwili, gdy zaczynaliśmy pisać ten tekst, ostrzeżenie przed kodami QR zajmowało pierwsze miejsce w rankingu najczęściej czytanych artykułów na stronie policja.pl.
Można się z niego dowiedzieć, że naklejki z niebezpiecznymi kodami QR „w ostatnim czasie bezprawnie umieszczane są na bankomatach”. Policja, ZBP i PIIT – posługując się niezbyt staranną polszczyzną – tłumaczą, że
Przestępcy wprowadzając w błąd poprzez przekazywanie fałszywej informacji o np. możliwej wygranej nagrodzie, doprowadzają do zmanipulowania potencjalnego klienta, który – w przypadku zeskanowania kodu QR z naklejki – w tym konkretnym przypadku zostanie przekierowany do usługi SMS PREMIUM, uruchomienie której spowoduje naliczenie, od nieświadomego usługobiorcy, wysokich opłat za jej włączenie. Ponadto podkreślenia wymaga fakt, że kody QR mogą nie tylko inicjować wskazane wyłudzenie, mogą również zostać wykorzystane do podstawiania oszukańczych platform, których celem może być wyłudzenie loginów i haseł do serwisów pocztowych, mediów społecznościowych, bankowości elektronicznej, usług publicznych, jak również do zainfekowania smartfonów szkodliwym oprogramowaniem.
Informację tę bez większych zmian podało wiele serwisów – nic dziwnego, skoro Polska Agencja Prasowa (PAP) zamieściła ją na swojej stronie z materiałami do bezpłatnego wykorzystania w mediach. Niektóre dość kreatywnie, choć niezgodnie z faktami, uzupełniły policyjny komunikat o pewną dozę dramatyzmu. „Wystarczy skan i pieniądze znikną z konta” – alarmował TVN24 BiS. „Naklejki z kodami pojawiły się w wielu miejscach w Polsce” – podkreślała Panorama TVP, która chcąc uwiarygodnić przekaz, poprosiła o komentarz paru ekspertów. „Wczytanie takiego kodu może narazić właściciela telefonu na utratę pieniędzy” – ostrzegała Rzeczpospolita. „Zdarzały się przypadki, że ludzie tracili w ten sposób po kilka tysięcy złotych” – straszył katowicki oddział Wyborczej, który już zdecydowanie odpłynął. O groźnych kodach QR informowały m.in. Wirtualna Polska, Interia, Radio ZET, Polskie Radio, RMF 24, Radio ESKA, Bankier.pl, Wprost, Komputer Świat i szereg innych stron.
Temat odżył, gdy media zauważyły, że ostrzeżenia o podobnej treści zaczęły w swoich serwisach publikować banki – najpierw BOŚ, Citi Handlowy i Bank Pocztowy, a ostatnio także PKO BP. Do tych pierwszych wysłaliśmy maile z prośbą o więcej szczegółów na temat ataków. Odpisała nam tylko Agnieszka Mędrzecka z Biura Zarządu i Komunikacji Banku Pocztowego:
W trosce o bezpieczeństwo naszych Klientów stale śledzimy najnowsze trendy oszustw dotykających sektor bankowy. Staramy się na bieżąco ostrzegać, zamieszczając komunikaty zarówno w mediach społecznościowych, jak i na stronach internetowych Banku, niezwłocznie po powzięciu informacji o potencjalnym ryzyku.
Komunikat dotyczący kodów QR zamieszczanych na bankomatach został opracowany w oparciu o treści zawarte w artykułach udostępnionych na stronach Związku Banków Polskich, Policji oraz Polskiej Izby Informatyki i Telekomunikacji (…)
Bank nie posiada bardziej szczegółowych informacji na temat konkretnych stron, na jakie kierowani są użytkownicy smartfonów po zeskanowaniu kodu QR. Nie dysponuje również zdjęciami naklejek, o których mowa w komunikacie.
Innymi słowy, bank nie zetknął się jeszcze z omawianym zagrożeniem, ale postanowił ostrzec przed nim klientów, sugerując się cytowanym wyżej komunikatem Policji, ZBP i PIIT. Zapytaliśmy podpisane pod nim podmioty, skąd mają informacje o groźnych kodach QR, które – jak głosi ostrzeżenie – „w ostatnim czasie bezprawnie umieszczane są na bankomatach”. Poprosiliśmy o adresy stron i dokładniejszy opis usług premium, do których te kody kierują. Ciekawiło nas, czy autorzy komunikatu dysponują zdjęciami złośliwych naklejek – chcieliśmy Wam je pokazać i poprosiliśmy o udostępnienie przynajmniej jednego.
Policja: Nie mamy takich zgłoszeń
Z upoważnienia Rzecznika Prasowego Komendanta Głównego Policji skontaktował się z nami kom. Dawid Marciniak – najpierw telefonicznie, potem mailowo. Okazało się, że Policja nie otrzymała dotąd żadnych zgłoszeń dotyczących naklejek z kodami QR umieszczanych na bankomatach. W związku z tym nie ma żadnych zdjęć ani nie może nam podać szczegółów na temat usług premium aktywowanych po zeskanowaniu złośliwych kodów, a opublikowane ostrzeżenie ma charakter prewencyjny. Z treścią e-maila, który otrzymaliśmy, możecie zapoznać się poniżej.
Do tej pory Policja nie odnotowała przypadków zgłoszenia się pokrzywdzonych w związku ze zeskanowaniem QR kodów. Informacje dotyczące pojawiających się naklejek z takimi kodami pojawiły się w przestrzeni publicznej. W związku z powyższym mając na uwadze bezpieczeństwo obywateli Policja wspólnie z Związkiem Banków Polskich przygotowała komunikat prewencyjny, który ma zwrócić uwagę na możliwe zagrożenia płynące z lekkomyślnego korzystania z technologii QR kod. Jednocześnie w zamieszczonym na stronie internetowej Policji komunikacie, jak również w wystąpieniach w radiu i telewizji w tym temacie zwracano uwagę, by każdy kto został pokrzywdzony zgłaszał się do najbliższej jednostki Policji.
Pod koniec jednego z materiałów telewizyjnych, dostępnych na stronie TVP Info, przedstawiciel Policji stwierdza wprost: „Nie mamy takich zgłoszeń”. Sam materiał utrzymany jest jednak w tonie lekkiej sensacji. Jego twórcy pokusili się nawet o pokazanie naklejki ze złośliwym kodem QR. Skąd ją wzięli? W sierpniu ubiegłego roku Niebezpiecznik poinformował krótko o naklejce, którą zdybał na bankomacie jeden z czytelników tego serwisu. Widniał na niej napis „Zgarnij Iphona X za Darmo!”, a strona, do której kierował kod, zajmowała się wyłudzaniem danych osobowych – nie było mowy o kradzieży pieniędzy lub wyłudzaniu SMS-ów premium.
Zagrożenie, przed którym ostrzegała Policja, miało działać inaczej – chodziło o „uruchomienie aplikacji wysyłającej SMS Premium bez wiedzy użytkownika”. Szkopuł w tym, że takich ataków nie odnotowano, informacje o nich pojawiły się tylko „w przestrzeni publicznej” (cokolwiek ten zwrot znaczy). I owszem, są możliwe, ale to nie powód, żeby siać panikę. Byłoby zdecydowanie lepiej, gdyby policyjne ostrzeżenie dotyczyło zagrożeń, z którymi Polacy naprawdę mają do czynienia – ataków niebezpiecznych i masowych, jak choćby oszustwa z wykorzystaniem fałszywych paneli płatności Dotpay, które obszernie opisywaliśmy przez cały zeszły rok. Niestety w serwisie policja.pl nie poświęcono im żadnej wzmianki, a były to ataki prawdziwe, nie hipotetyczne. Dlaczego organy powołane do dbania o nasze bezpieczeństwo wymyślają nieistniejące zagrożenia, zamiast ostrzegać przed tymi, które już istnieją? Nie mamy pojęcia.
ZBP wyjaśnia, lecz też ataków nie widział
Udało się nam także skontaktować z przedstawicielami ZBP. Na nasze pytania odpowiedział Piotr Marek Balcerzak, dyrektor Zespołu Bezpieczeństwa Banków – z treścią otrzymanego przez nas maila możecie zapoznać się poniżej.
– Skąd ZBP ma informacje o wspomnianych naklejkach?
Odnosząc się do wcześniejszych informacji medialnych Związek Banków Polskich podjął wspólną inicjatywę z Komendą Główną Policji i Polską Izbą Informatyki i Telekomunikacji o przygotowaniu ostrzeżenia, które ma charakter prewencyjny.
– Do jakich konkretnie stron prowadzą znajdujące się na nich kody QR, jakie usługi premium reklamują?
Sygnalizowane są usługi Premium SMS, ale tak naprawdę umieszczane w sferze publicznej QR kody mogą przekierować do aplikacji lub stron internetowych, skryptów uruchamiających złośliwe oprogramowanie. W jego wyniku może dojść np. do przejęcia kontroli nad smartfonem lub przejęciem informacji poufnych, związanych z korzystaniem z bankowości elektronicznej.
– Czy ZBP dysponuje zdjęciami takich naklejek i czy mogłabym przynajmniej jedno otrzymać celem zamieszczenia go w artykule?
Poinformowaliśmy właścicieli sieci bankomatowych w Polsce aby objęli dodatkowym monitoringiem bankomatów w tym zakresie. Otrzymaliśmy zdjęcia kilku QR kodów, które były naklejane na bankomaty ale po ich zbadaniu uznaliśmy je jako false positive.
Jednak należy pamiętać, że QR kod jest bardzo nowoczesnym rozwiązaniem, powszechnie wykorzystywany i z gruntu rzeczy bardzo ułatwiającym życie. Niektórzy dostawcy usług na blankietach polecenia przelewu zamieszczają QR kod aby po jego zeskanowaniu wypełnione zostaną wszystkie pola w aplikacji mobilnej, do dokonania płatności na rzecz tego dostawcy.
Dlatego tak ważne jest świadome i ostrożne wykorzystywania nowoczesnych technologii. Należy korzystać z QR kodów ale winny one pochodzić z wiarygodnego i zaufanego źródła i temu ma służyć ten wspólny komunikat ZBP, KGP i PIIT.
PIIT do chwili publikacji tego tekstu na zadane przez nas pytania nie odpowiedziała. Jeśli sami widzieliście na którymś bankomacie naklejki z kodami QR, to zapraszamy do kontaktu i nadsyłania zdjęć. Chętnie zaktualizujemy ten artykuł o dostarczone przez Was dowody wskazujące, że mamy do czynienia z realnym zagrożeniem, nie z legendą miejską. Pozdrawiamy także wszystkie redakcje i instytucje kolportujące opisanego powyżej newsa – weryfikacja informacji przed ich publikacją to trudne zadanie.
Komentarze
Wstyd i hańba.
KGP I ZBP I….
OMG,
jeszcze policja nas oszukuje.
niezła krowa
To się Pani popisała. Czytam ten artykuł i zastanawiam się, czy to nie z kategorii „astronomia”? Chyba o UFO? Są zwolennicy i świadkowie, którzy je widzieli i jest grupa przeciwników, że go nie było. Uważam, że NIEBEZPIECZNIK.PL jest jednak większym autorytetem niż autorka pewnie wielu felietonów, doświadczona pisarka z dużym stażem? W sumie, to przez chwilę myślałem, że czytam jakiś Superekspres (przepraszam Superekspres), opis jakiejś sensacji… A czy ustaliła Pani „pisarz”, czy firmy zajmujące się obsługą bankomatów nie otrzymały polecenia usuwania obcych elementów i naklejek z kodami? To tak, jakby Pani chciała, by jeśli ktoś umieści skimmmer dalej on wisiał i czekał na Panią, aż Pani go sobie sfotografuje i opisze. Od wielu lat czytam Wasze wpisy, ale po tym się trochę załamałem… Od kiedy to rzecznicy prasowi (przepraszam i mam nadzieję, że się nie obrażą), są ekspertami w takich sprawach?
Szkoda czasu Pani Aniu.
Pozdrawiam Pana Adama i proszę by zaczął czytać, to co piszą jego „pisarze”, bo uważam, że w ten sposób zmarnujecie swój potencjał.
>Są zwolennicy i świadkowie, którzy je widzieli
w tym kraju tak to działa, jak policjant coś zobaczył to szybko się znajdzie setka świadków która to potwierdzi
Krzysiek, ale krótka piłka – masz zdjęcie takiej naklejki czy nie masz? Bo jak nie masz to się nie produkuj bez potrzeby.
Faktem jest, że ZBP i spółka nie ostrzegają przed faktycznym zagrożeniem (fałszywy Dotpay i in.) a media pompują zmyśloną historię.
Krzysiek produkujesz się i produkujesz ale poza narzekaniem nic z tego nie wynika. Merytoryki brak, konkluzja niby ale de facto nijaka.
Jestem ciekaw czemu potraktowałeś to presonalnie – w której z wymienionych w artykule instytucji pracujesz?
„Dlaczego organy powołane do dbania o nasze bezpieczeństwo wymyślają nieistniejące zagrożenia […]”
Zapewne dlatego że zajmuje się tym wannabie-cyberglina który do niedawna pracował w drogówce albo w prewencji i nieważne że jeśli chodzi o Cyber Security to jest głupi jak but, ważne że ktoś mu podmuchał w żagle (czytaj: nepotyzm) i że bardzo chce działać w cyberprzestępczości.
To, że nikt nie widział nie znaczy, że zaraz ktoś wpadnie na taki pomysł. Lepiej dmuchać na zimne i edukować zawczasu. Zwróć uwagę, że 3/4 społeczeństwa to jednak debile, którzy płaczą po fakcie.
pewnie parę osób wzięło już premię za tę sprawę
no to wkrótce naklejki będą musiały się „pojawić”
„Odnosząc się do wcześniejszych informacji medialnych Związek Banków Polskich podjął wspólną inicjatywę z Komendą Główną Policji i Polską Izbą Informatyki i Telekomunikacji o przygotowaniu ostrzeżenia, które ma charakter prewencyjny”
czyli nie potwierdzając czy informacja jest prawdziwa postanowiliście stworzyć fake newsa dla własnych potrzeb Brawo :)
Piekło zamarzło!!! Z3S linkuje do niebezpiecznika. Brawo!
Ależ nie pierwszy to raz. I na pewno nie ostatni.
Daj spokój. Zamarzłoby, gdyby było odwrotnie. Potem jeszcze raz by zamarzło, gdyby zapomnieli przy tym wspomnieć o swoich szkoleniach.
i o super bezpiecznych nord vpnach
I o bezpieczeństwie produktów Apple.
Akurat to niebezpiecznik kradnie wiadomości minimalnie zmieniając kolejność słów. Komentarze pod artykułami nie pojawiają się mimo, że nie łamią ich regulaminu. Z3S jest na znacznie wyższym poziomie.
Ten pierwszy cytat nienajlepszą polszczyzną należy czytać głosem i intonacją Waldemara Morawca z „Psów” w scenie jak donosi o paleniu akt w miejscu mu nieznanym.
:P
(Proszę o wstawienie przecinków we właściwych miejscach – moja polszczyzna najwyraźniej też wymaga podszlifowania)