QR kód je typ čárového kódu, který poskytuje snadný a rychlý přístup k jakýmkoli informacím (text, URL, pokladna, potvrzení transakce). Lze číst na běžném smartphonu nebo tabletu. Celý název zní jako Quick Response Code, což znamená „rychlá odezva“, „okamžitý přístup“.
Co je to QR kód a kde se používá?
QR kódy byly vynalezeny již v roce 1994, ale aktivně se začaly používat teprve relativně nedávno. Mezi hlavní důvody nárůstu popularity lze jmenovat: rychlý rozvoj mobilních a internetových technologií, touha lidí rychleji a snadněji přistupovat k informacím nebo provádět operace (objednávky, platby) a pokračující COVID- 19 pandemie.
QR kódy dnes najdete téměř ve všech oblastech: kavárny, restaurace, obchody, parkoviště, půjčovny vybavení, doprava, zdravotnictví, finance, reklama. Podle Statista se za poslední 2 roky procento využití QR kódu zvýšilo o 26 %, což svědčí o aktivním růstu využívání této technologie.
Dnes lze za lídry v používání QR kódů považovat země Asie a Severní Ameriky. Podle ExpressVPN, v Číně lidé aktivně používají QR kódy ve svém každodenním životě, od rezervace míst ve frontách a stanovení termínů až po provádění transakcí pomocí technologie Scan-to-Pay. Evropské země zavádějí QR kódy pomaleji, ale stále je pozorován trend aktivního růstu.
QR kódy nám výrazně zjednodušují život a zrychlují mnoho procesů, ale spolu s tím přicházejí i určitá rizika, jako jsou podvody.
Typy podvodů s QR kódy
S rostoucí oblibou QR kódů začali hackeři a podvodníci tuto technologii aktivně využívat ve své praxi. Nebezpečí spočívá v tom, že „škodlivé“ kódy se nijak neliší od běžných a nelze je na první pohled rozpoznat. Neexistuje také žádný mechanismus pro ověřování QR kódů a každý je může vytvořit bez zvláštního úsilí a dovedností.
QR kódy mohou odhalit mnoho informací o svých uživatelích a vystavit tak jejich soukromí a osobní údaje velkému riziku. Naskenováním kódu a následováním odkazu může nic netušící osoba prozradit podvodníkům svou polohu, prohlížeč, IP adresu, historii navštívených webových stránek. Útočníci mohou snadno získat přístup k osobním údajům, jako jsou jména, hesla, adresy, bankovní údaje, soubory cookie prohlížeče. Podvodníci mohou všechny tyto informace prodat třetím stranám nebo je použít pro osobní zisk.
Abyste se před takovými případy ochránili, musíte pochopit, jak a kde mohou podvodníci používat „škodlivé“ QR kódy.
Falešné QR kódy v sektoru služeb
V poslední době se QR kódy stále více používají v oblasti veřejného stravování: kavárny, bary, restaurace. Mnoho provozoven začalo aktivně implementovat QR kódy již v roce 2020 na pozadí pandemie COVID-19, což umožnilo minimalizovat kontakt mezi lidmi a nadále provozovat podniky. Jak se ukázalo, QR kódy také pomáhají urychlit proces obsluhy instituce. Mnoho restaurací používá QR kódy na svých jídelních lístcích, na svých webových stránkách a při platbách za objednávky. Podvodníci mohou zfalšovat a nahradit QR kódy provozoven, a tím získat osobní údaje uživatelů nebo je přesměrovat na phishingové stránky.
Stejné schéma lze použít při používání QR kódů v obchodech, supermarketech, tělocvičnách atd.
Rizika veřejně přístupných, veřejných sítí
Veřejná místa se často stávají terčem podvodníků, a to kvůli snadnému přístupu k veřejné síti, například bezplatné Wi-Fi v kavárnách. Útočníci tak mohou hacknout menu provozoven, měnit informace, získat přístup k osobním údajům připojených uživatelů.
Bezplatný přístup k veřejné Wi-Fi pomocí QR kódu lze také využít k podvodným účelům. Kyberzločinci často vytvářejí falešné Wi-Fi hotspoty, ke kterým se může připojit nic netušící uživatel.
QR kódy na produktových balíčcích
V posledních letech jsou stále populárnější QR kódy na obalech, které nahrazují uživatelské manuály, registraci produktů a záruční listy. Značky a výrobci tuto technologii využívají k pohodlnějšímu zobrazování informací o svých produktech, shromažďování zpětné vazby nebo zlepšování celkové kvality zákaznických služeb. Aktivní používání QR kódů na obalech zaujalo i podvodníky.
Útočníci mohou uživatelům posílat phishingové e-maily vydávající se za známé značky, které obsahují běžné QR kódy. Jsou známy případy, kdy podvodníci dokonce posílali svým obětem fyzické balíčky nebo dárky s falešnými QR kódy a vydávaly je za produkty originálních značek.
Finanční transakce pomocí QR kódů
Díky QR kódům jsou finanční transakce rychlejší a bezpečnější díky end-to-end šifrování a funkcím výběru hotovosti bez PINu. Staly se však i terčem podvodníků.
Zločinci používají QR kódy k útokům na bankovní účty uživatelů několika způsoby. Jedním z nejčastějších je padělání originálních QR kódů používaných pro platby na veřejných místech, jako jsou parkoviště, čerpací stanice, půjčovny aut, kavárny.
Největším nebezpečím této metody není ani tak to, že nic netušící uživatel zaplatil malou částku za parkování podvodníkovi, ale to, že platební údaje jsou uloženy u útočníka a v budoucnu může dojít k nechtěným transakcím za velké částky.
Další běžnou metodou podvodů pomocí QR kódů jsou transakce s kryptoměnami. Útočníci mohou uživatele lákat „bezplatnými dárky“ kryptoměn nebo slibovat lepší směnné kurzy. Po naskenování QR kódu jsou však uživatelé přesměrováni na škodlivé stránky určené ke sběru dat nebo přímo krádeži jejich kryptopeněženky.
Sociální sítě se staly hlavními kanály pro podvody s kryptoměnami. Útočníci se často vydávají za oficiální zástupce populárních kryptoburz nebo za známé krypto experty. Lákají potenciální oběti na všemožné výhodné nabídky a často využívají QR kódy. Takže například v roce 2022 Federální obchodní komise USA zjistila, že 32 % všech případů podvodů s kryptoměnami bylo spácháno v Instagram.
QR kód v oblasti lékařství a zdravotnictví
Během pandemie COVID-19 hrály QR kódy důležitou roli při sledování zdravotního stavu pacientů a pomáhaly efektivněji monitorovat šíření viru.
QR kódy se postupem času staly důležitým nástrojem pro farmaceutické společnosti, poskytující informace o výrobním procesu, obsahu léčiva, datu použitelnosti, dávkování a bezpečnostních opatřeních.
Bohužel ani zdravotnictví není imunní vůči podvodům. Zločinci používají falešné QR kódy nabízející lékařské informace, aby oklamali pacienty, aby se vzdali citlivých osobních údajů.
Jak bezpečně používat QR kód
QR kódy jsou šikovným nástrojem, který výrazně zjednodušuje mnoho procesů, takže se je nebojte používat. A abychom nepropadli trikům podvodníků, stačí dodržovat pár jednoduchých pravidel, která jsou shromážděna v k průvodci ExpressVPN ke QR kódům. Zde jsou pravděpodobně nejzákladnější z nich:
1. Naskenujte a sledujte odkazy na QR kód pouze z ověřených zdrojů. Vyhněte se QR kódům umístěným na náhodných letácích, oznámeních, bannerech, samolepkách.
2. Vizuálně zkontrolujte, zda je QR kód podobný falešnému. Je běžnou praxí, že podvodníci nalepí falešné kódy na ty původní. Obvykle je to patrné vizuální kontrolou.
3. Zkontrolujte adresu URL. Při skenování QR kódů většina smartphonů předem zobrazuje adresu URL, na kterou se chystáte přejít. Pokud má adresa chybu nebo vypadá zjevně podezřele, raději ji nenavštěvujte. Nebo můžete použít vyhrazené online služby k bezpečnému skenování QR kódů, jako je ZXing Decoder Online.
4. Pravidelně svá zařízení aktualizujte. Jakkoli to zní banálně, opravdu to pomáhá. Vývojáři operačních systémů a aplikací věnují zvláštní pozornost bezpečnosti a zranitelnostem, pravidelně vydávají aktualizace. Nejnovější aktuální verze operačního systému a aplikací zvyšují vaši ochranu.
5. Buďte zvláště opatrní při transakcích prostřednictvím QR kódů. Vyhněte se skenování QR kódů při provádění finančních transakcí, pokud nejsou prováděny prostřednictvím důvěryhodného zdroje, jako je renomovaná platební aplikace nebo aplikace vaší banky.
6. Odepřete přístup k neověřeným QR kódům. S QR kódy, které vyžadují další přístup k osobním údajům, jako jsou kontakty nebo poloha, je třeba zacházet s maximální opatrností. Povolit přístup pouze pro QR kódy z důvěryhodných a ověřených zdrojů.
7. Ignorujte aplikace s QR kódem třetích stran. Moderní chytré telefony dokážou přečíst QR kód bez dalšího softwaru třetích stran. V App Store a Google Play však existuje mnoho aplikací pro čtení QR kódů, některé jsou dokonce placené.