Ładowanie samochodów elektrycznych stało się jednym z kluczowych elementów nowoczesnej mobilności, ale rosnąca popularność tych pojazdów przyciągnęła także uwagę cyberprzestępców. Eksperci cyberbezpieczeństwa z firmy ESET ostrzegają –  na stacjach ładowania pojawiają się fałszywe kody QR, które mogą prowadzić do kradzieży danych płatniczych użytkowników. Wystarczy zeskanować taki kod, by zamiast zrealizować płatność za ładowanie, narazić się na stratę pieniędzy. Jak działa ten rodzaj oszustwa i jak się przed nim chronić?

Kierowcy pojazdów elektrycznych stali się celem nowej metody wyłudzania danych, określanej jako „quishing”, czyli phishing za pomocą kodów QR. Zjawisko to, dostrzegalne już w niektórych krajach Europy, opiera się na podmianie oryginalnych kodów QR na fałszywe wersje. Oszuści naklejają te kody na oryginalne oznaczenia na publicznych stacjach ładowania, co pozwala im przekierować użytkowników na złośliwe strony internetowe.

 

– Chociaż kody QR pojawiły się już w latach 90., quishing jako zagrożenie zaczął się rozwijać w czasie pandemii, gdy stały się powszechniejsze jako bardziej higieniczny sposób dostępu do menu czy formularzy medycznych. Oszuści szybko wykorzystali tę sytuację, podmieniając prawdziwe kody QR na fałszywe. Po ich zeskanowaniu ofiary trafiają na strony phishingowe, gdzie przestępcy mogą przechwytywać ich dane logowania lub próbować instalować złośliwe oprogramowanie. Quishing to wyjątkowo skuteczna metoda, ponieważ kody QR nie wzbudzają tak dużej podejrzliwości jak nieznane linki – wyjaśnia Beniamin Szczepankiewicz, analityk laboratorium antywirusowego ESET.

Po zeskanowaniu fałszywego kodu, użytkownik trafia na stronę podszywającą się pod witrynę operatora ładowania. Strona wygląda bardzo podobnie do prawdziwej, a kierowca proszony jest o podanie danych płatniczych, które zostają przejęte przez oszustów. Aby dodatkowo ukryć swoje działania, cyberprzestępcy często aranżują proces tak, że pierwsza próba płatności kończy się niepowodzeniem, po czym użytkownik jest przekierowywany na autentyczną stronę operatora. Dzięki temu ofiary zazwyczaj nie podejrzewają, że ich dane zostały wcześniej skradzione.

Fałszywe kody QR użyte przez oszustów „parkingowych” – źródło: cbzc.policja.gov.pl

Podobne schematy oszustw pojawiały się już w innych miejscach, np. na parkometrach w Krakowie, gdzie fałszywe kody QR prowadziły do utraty danych kart płatniczych. W takich sytuacjach kierowcy byli narażeni nie tylko na kradzież pieniędzy, ale również na problemy z lokalnymi władzami, które mogły nałożyć mandaty za brak opłaty parkingowej.

Obecne oszustwa z użyciem quishingu koncentrują się głównie na wyłudzaniu danych płatniczych za pomocą stron phishingowych. Nic jednak nie stoi na przeszkodzie, by cyberprzestępcy zaczęli modyfikować te ataki, próbując nakłonić użytkowników do zainstalowania np. fałszywej aplikacji operatora ładowarki, które przejmie kontrolę nad urządzeniem ofiary lub wykradnie inne loginy i poufne informacje – ostrzega Beniamin Szczepankiewicz.

 

Istnieje jednak kilka prostych sposobów, by zmniejszyć ryzyko związane z „quishingiem”:

  • Przyjrzyj się kodowi QR – sprawdź, czy kod nie wygląda na naklejony na inną powierzchnię, czy jego wygląd jest spójny z otoczeniem, a także, czy nie ma graficznych nieścisłości.
  • Unikaj skanowania kodów na obcych powierzchniach – upewnij się, że kod QR jest wyświetlany bezpośrednio na terminalu ładowania lub parkometrze, a nie jest dodatkową naklejką.
  • Korzystaj z aplikacji operatora – rozważ dokonywanie płatności przez oficjalną aplikację operatora stacji ładowania lub za pośrednictwem strony internetowej, co minimalizuje ryzyko zetknięcia się z fałszywym kodem.
  • Wyłącz automatyczne akcje przy skanowaniu kodu – po zeskanowaniu kodu QR upewnij się, że strona internetowa otwiera się dopiero po twojej akceptacji, a także sprawdź dokładnie adres URL, aby mieć pewność, że prowadzi do strony związanej z usługą, z której korzystasz.
  • Wystrzegaj się literówek i błędów – fałszywe strony często zawierają błędy językowe lub nietypowe zwroty, co może być sygnałem, że strona jest nieautentyczna.
  • Zgłoś podejrzane sytuacje operatorowi – jeśli zauważysz coś podejrzanego, skontaktuj się bezpośrednio z operatorem stacji i zgłoś swoje obawy.
  • Korzystaj z alternatywnych metod płatności – wiele terminali ładowania umożliwia płatność kartą, za pomocą NFC lub gotówką, co może być bezpieczniejszą opcją, gdy masz wątpliwości co do autentyczności kodu QR.
  • Włącz weryfikację wieloetapową (MFA) – jeżeli usługi związane z ładowaniem pojazdów oferują MFA, warto z niej skorzystać, aby zabezpieczyć swoje konto nawet w przypadku wycieku danych.
  • Zabezpiecz swoje urządzenia mobilne – używaj oprogramowania zabezpieczającego na urządzeniach, które służą do realizowania płatności lub do logowania się na konta powiązane z usługami ładowania.