Bezpieczeństwo

QRishing – czy jest się czego bać

Michał Rosiak Michał Rosiak
05 października 2023
QRishing – czy jest się czego bać

Kod QR, czyli za Wikipedią: alfanumeryczny, dwuwymiarowy, matrycowy, kwadratowy kod graficzny opracowany przez japońskie przedsiębiorstwo Denso Wave w 1994 roku. Czy ataków przy użyciu kodu, określanych jako QRishing, trzeba się bać?

Moim zdaniem - nie. To oczywiście prywatna opinia moja, Michała Rosiaka, tym niemniej zaraz Wam wyjaśnię, co mną powoduje.

QRishing, czyli nowy atak

Ataki przy użyciu kodów QR w 2023 roku to nic nowego. Pewnie faktycznie w czasie, gdy powstawały, nikt nie myślał o tym, że można za ich pośrednictwem robić komuś krzywdę. Jednak ze wzrostem popularności smartfonów, gdy rosły ich możliwości, a mobilny dostęp do sieci przestawał być dobrem luksusowym. Źli ludzie zaczęli zauważać, że przez kod matrycowy też można zaatakować. QRishing nie jest jednak nowym atakiem. To po prostu inny sposób, wektor, dostarczenia treści phishingowej do ofiary. Dobry, patrząc oczywiście z punktu widzenia przestępcy i idący w szeregu z innymi popularnymi w dzisiejszych czasach sposobami. Skierowany w użytkowników mobilnych. Wykorzystujący słabości naszych umysłów, naszego mózgu i telefonów komórkowych.

O co w tym chodzi

W kodzie QR można zaszyć bardzo dużo wiadomości. Umieszczając np. taki kod po drugiej stronie wizytówki, można sprawić, by po jego zeskanowaniu nasze dane zapisały w telefonie drugiej osoby. Wśród informacji, które można zawrzeć w kodzie matrycowym znajduje się też oczywiście adres strony internetowej.

I pewnie jeśli się nie domyślaliście, to w tym momencie załapaliście o co chodzi, co? To nie jest link, któremu możemy (i błagam, róbcie to!) przyjrzeć się, zanim weń klikniemy. To nie jest aplikacja spoza sklepu Play, której szukamy, po czym instalujemy na telefonie. To jest nierozszyfrowywalna dla zwykłego człowieka grupa kwadratów!

Ale to tylko początek, coś jak podejrzany SMS, czy e-mail. I tak jak po kliknięciu w zawarte w nich linki, tak samo po odkodowaniu QR kodu przenosimy się na jakąś witrynę lub oglądamy monit o np. ściągnięcie pliku.

Do czego przestępcy wykorzystują QRishing

Wśród zaobserwowanych przez CERT Orange Polska przypadków znalazły się m.in.: fałszywy mail od kuriera (przekierowanie do podstawionej bramki płatniczej), podszycie pod... serwis 2FA (wyciągnięcie z ofiary kodu do dwuskładnikowego uwierzytelnienia), linki do fałszywych aplikacji na Androida, czy też przejęcie... skrzynki SMS ofiary dzięki zdalnemu parowaniu konta z komputerem.

Kilka miesięcy temu naklejki, przekierowujące na fałszywe strony płatności pojawiły się na parkomatach w Krakowie. Wczoraj kierowcy niektórych samochodów w Warszawskiej Strefie Płatnego Parkowania Niestrzeżonego znaleźli takie ulotki:

QRishing podszywający się pod warszawską Straż Miejską.
Źródło: Facebook, grupa Scam - Podstawione strony i wszelkie inne oszustwa

Kod prowadzi oczywiście do fałszywej strony płatności. Jest już zablokowana, ale niewykluczone, że przestępcy ponowią niebawem trick z inną witryną.

Co robić

To samo, co zawsze - uważać! QRishing to tak naprawdę phishing jak każdy inny. Wystarczy przedsięwziąć takie same środki ostrożności, jak przy mailach, czy SMS-ach czyli:

  • Sprawdzić link, najlepiej zanim go klikniemy. Telefony, których aparaty mają wbudowaną funkcję QR kodów pokazują nam link i dopiero po jego dotknięciu przechodzimy do strony docelowej.
  • Jeśli już wejdziemy na stronę - nie wpisywać danych wrażliwych (loginy, hasła, dane karty płatniczej).
  • Nie instalować aplikacji spoza sklepu Play, jeśli kod do nich kieruje.

Może się oczywiście zdarzyć, że to bank podeśle nam taki kod, bądź jako power user jesteśmy świadomi ryzyka instalacji aplikacji spoza sklepu. Co do zasady jednak

nie wpisuj żadnych danych, nie dokonaj płatności i nie ściągaj niczego ze stron, na które kieruje Cię QR kod!

Wtedy QRishing nie będzie Ci straszny. Pamiętaj też, że nie bez przyczyny trafił do Ciebie kod QR, czyli coś, co trzeba zeskanować telefonem. To też powtarzam do znudzenia - przeglądarki mobilne mają tę cechę, że pasek z adresem po chwili w nich znika. I jeśli od razu nie sprawdzimy poprawności adresu, szansa, że zrobimy to potem, jest bliska zeru.

A jeśli chcesz przeczytać na temat nieco więcej, polecam dość długi, ale napisany prostym, zrozumiałym językiem tekst Marka Olszewskiego na stronie CERT Orange Polska. Marek, bazując na wielu przykładach, wyjaśnia potencjalne ryzyka, związane z bezpieczeństwem używania kodów QR.


Oferta

W duecie taniej – zestawy ze słuchawkami

Beata Giska Beata Giska
05 października 2023
W duecie taniej – zestawy ze słuchawkami

Wprowadzamy do oferty nowe zestawy. W ramach jednej transakcji możecie kupić okazyjnie smartfony ze słuchawkami, które za symboliczną złotówkę dobierzecie do telefonu. Taniej kupicie też smartwatch w pakiecie.

Jeśli szukacie nowego telefonu z pewnością przydadzą się Wam do niego i słuchawki – do muzyki, rozmów czy przydatne przy oglądaniu filmów. Warto kupić pakiet, tym bardziej, że nie odczujecie różnicy cenowej, nawet jak dobierzecie markowe akcesoria.

Słuchawki prawie za darmo

W naszym portfolio pojawił się właśnie nowy model, realme 11 Pro 5G 128 GB, który na start dajemy w zestawie ze słuchawkami realme Buds T100 za 1 zł. Marka skupiła się na potrzebach klientów - wypuszczając smartfon, którego największymi atutami są: dużo pamięci, mocna bateria, dobry aparat z porządnym nocnym trybem do robienia zdjęć i obsługa 5G. Cena to kolejny plus. Do tego jest lekki i elegancki, a kompatybilne z nim słuchawki są szybko ładowane i wytrzymałe.

Samsung Galaxy A54 5G 128 GB oraz Galaxy S22 5G 256 GB dostaniecie w zestawach z nowymi słuchawkami Samsung Galaxy Buds FE wartości ok. 470 zł. Podobnie OPPO Reno10 5G 256 GB czy Reno10 Pro 5G 256 GB ze słuchawkami OPPO Enco Air 3. Wszystkie pakiety zawierają bezprzewodowe słuchawki za złotówkę. Ilość zestawów w promocji jest ograniczona.

Zestaw z zegarkiem

Następną nowością są duety HUAWEI złożone z zegarków. Do wyboru macie dwa modele: Huawei Watch GT 4 41mm Elite lub Huawei Watch GT 4 46mm Elite, a do nich dochodzą słuchawki Huawei FreeBuds SE2. Tu również cena samego smartwatcha - względem tego dostępnego razem z akcesoriami – różni są jedynie o złotówkę. Nie ma co się nawet zastanawiać, warto się pospieszyć, bo oferty są limitowane.

Zegarki są idealne dla fanów designu, sportu, elektroniki, a także miłośników dbania o zdrowie oraz dla tych, którzy lubią być w stałym kontakcie ze światem. Do dostępnych tam programów treningowych muzyka ze słuchawek będzie idealnym uzupełnieniem.

Więcej ciekawych, promocyjnych zestawów znajdziecie tutaj.


Odpowiedzialny biznes

Niedużo trzeba, by zostać wolontariuszem

Wojtek Jabczyński Wojtek Jabczyński
05 października 2023
Niedużo trzeba, by zostać wolontariuszem

Pomagał od najmłodszych lat. Najpierw po sąsiedzku, potem w szkole i w pracy. Tak zostało to do dzisiaj. Uczy dzieci bezpiecznie korzystać z internetu, seniorów używać smartfona, a emigrantów z Ukrainy i Senegalu - języka polskiego.

Robert Badowski w Orange pracuje od 22 lat i pomaga rozwijać się naszym kolegom i koleżankom obsługującym klientów biznesowych. Mieszka w Łodzi.

Budowanie stodoły

- Pamiętam, że jak byłem dzieckiem wyjeżdżałem do cioci do Anielina (wieś za Inowłodzem) gdzie spędzałem końcówkę wakacji. Na wsi zawsze było coś do roboty, więc razem z dziećmi gospodarza byliśmy brani „do pomocy” - wspomina Robert. - Lata 70. i 80. nie były łatwe, ale sąsiedzka pomoc wszechobecna. W budowaniu nowej stodoły u jednego z sąsiadów uczestniczyło pół wsi, jeśli nie cała. Żniwa to też przykład pracy grupowej. Nie używano kombajnów, całą pracę wykonywali ludzie. Byłem dumny, gdy w czasie przerwy mogłem usiąść ze starszymi i napić się kawy zbożowej z metalowego kubka, jak inni dorośli. Dla dzieci i młodzieży była woda z wiadra - śmieje się na to sentymentalne wspomnienie.

Można powiedzieć, że wolontariat wsiąkł w Roberta gdzieś na polu pod Anielinem. To, co wyniósł z młodości, zabrał ze sobą do pracy. Do nas trafił w 2001 roku z łódzkiego banku. Na początku pomagał potrzebującym przy tzw. opiece długoterminowej. Czasem chodziło o ogarnięcie kwestii technicznych w lokalach, czasem męską pomoc przy pacjentach leżących a czasem o zwykłą z nimi rozmowę.

Dla pacjentów, dzieci i seniorów

Z Fundacją Orange zaczął współpracować 14 lat temu. Jedną z pierwszych samodzielnych akcji był remont świetlicy w szpitalu Centrum Zdrowia Matki Polki wykonany w 48 godzin. Mała grupa ambasadorów Fundacji Orange oraz sympatyków zebrała się w Łodzi i w weekend odnowiła świetlicę dla dzieci. Potem przyszły zajęcia w szkołach i domach dziecka. Był też epizod dla seniorów i seniorek.

Zadowolona ekipa po wolontariacie w szpitalu

- W akcję „Telefon dla seniora” wkręciłem się przez teściową, kiedy zdecydowała się „przesiąść” z telefonu guzikowego na dotykowy - wspomina Robert. - Naturalnie nabrałem wtedy doświadczenia przez pracę z najtrudniejszym uczniem pod słońcem. Czasami słyszę, jak zagaduje rówieśników. - A twój telefon, to ile ma RAM? Pamiętam, że pierwszym sponsorem, który zaopatrzył mnie w 5 smartfonów na zajęcia w Klubie Seniora przy Domu Kultury na Chojnach w Łodzi, byli przyjaciele z Wydziału Opiekunów Klientów Kluczowych. Dziękuję jeszcze raz.

Jak wielu naszych wolontariuszy i wolontariuszek, Robert zaangażował się też w lekcje bezpiecznego internetu dla najmłodszych. - Naprawdę trzeba niedużo, aby pomagać. Są gotowe materiały i wystarczy z nich mądrze korzystać - przekonuje.

To „mądrze” w przypadku naszego kolegi oznacza… robić dużo więcej. Dzieciaki nie tylko słuchają i rysują, muszą też dotknąć, poczuć. Dlatego wprowadził na lekcje gadżety: są kości komputerowe, prawdziwy ebonitowy telefon stacjonarny, różne kable i przewody, jest też metr światłowodu. Robert zrezygnował z wyświetlania części standardowych filmów szkoleniowych, bo dzieci źle na nie reagowały. Zastąpił je inscenizacjami „Jak działa firewall?”, „Co robi antywirus?”. Prowadził lekcje w wielu łódzkich szkołach podstawowych. - Pedagodzy już mnie znają. Jak chcą lekcje z bezpiecznego internetu to do mnie dzwonią. Nigdy nie odmówię.

Na lekcji o bezpiecznym internecie

A jak połączyć lekcje o Internecie z ekologią? - Opuszczając jedną z lokalizacji  musieliśmy się pozbyć materiałów po Orange Customer Services - opowiada Robert. - Znalazłem pod koszem pudła z papierem firmowym. Zamiast je wyrzucić zabrałem „śmieci” do domu i pousuwałem dane identyfikacyjne nożyczkami. W ten sposób papier firmowy stał się eleganckim blokiem rysunkowym z kilkoma tysiącami kartek. Drukowane były na nich materiały na zajęcia dla dzieci lub powstawały rysunki telefonów przyszłości. Dałem papierowi „drugie życie” - śmieje się. Małe rzeczy mają znaczenie. 

Miód na serducho

- Wolontariat daje mi nie tylko satysfakcję z pomagania potrzebującym, ale też szansę by spotkać zaangażowanych ludzi. Razem robimy coś bezinteresownie dla innych. To jest miód na moje serducho. Zachęcam wszystkich, by do nas dołączyli. I jeszcze raz podkreślę - naprawdę tak niewiele trzeba. Przykład? Dwa razy w tygodniu po 30 minut rozmawiam z imigrantami po polsku w ramach akcji „Chodź  na słówko” prowadzonej przez Fundację Polskie Forum Migracyjne. Chodzi w niej o to, aby szybciej „łapali” nasz język, lepiej się komunikowali i pewniej się u nas czuli - kończy Robert.

Scroll to Top