Oszustwa „mandatowe” przenoszą phishing do kodów QR. Nowa fala quishingu w USA - Security Bez Tabu

Oszustwa „mandatowe” przenoszą phishing do kodów QR. Nowa fala quishingu w USA

Cybersecurity news

Wprowadzenie do problemu / definicja

Nowa odsłona kampanii phishingowych w USA wykorzystuje fałszywe powiadomienia o mandatach, opłatach parkingowych i należnościach za przejazdy drogami płatnymi. Kluczową zmianą jest zastąpienie klasycznych linków kodami QR, które kierują ofiary do infrastruktury wyłudzającej dane osobowe i płatnicze.

To przykład tzw. quishingu, czyli phishingu realizowanego za pomocą kodów QR. Technika ta jest szczególnie skuteczna na urządzeniach mobilnych, gdzie użytkownik częściej ufa skanowaniu kodu niż klikaniu podejrzanego odnośnika.

W skrócie

Cyberprzestępcy rozsyłają wiadomości SMS podszywające się pod sądy, urzędy i instytucje odpowiedzialne za egzekwowanie należności drogowych. W treści lub grafice znajduje się kod QR prowadzący do fałszywej strony płatności.

  • Przynęta dotyczy rzekomego mandatu lub zaległej opłaty.
  • Kod QR prowadzi do strony pośredniej z CAPTCHA.
  • Następnie ofiara trafia na stronę imitującą portal urzędowy.
  • Atakujący zbierają dane osobowe i dane karty płatniczej.
  • Niewielka kwota płatności ma obniżyć czujność użytkownika.

Kontekst / historia

Kampania stanowi rozwinięcie wcześniejszych oszustw związanych z rzekomymi zaległościami za przejazdy i mandaty parkingowe. W poprzednich wariantach dominowały bezpośrednie linki umieszczane w wiadomościach SMS, natomiast obecnie przestępcy coraz częściej sięgają po kody QR osadzone w materiałach przypominających oficjalne pisma.

Taka zmiana nie jest przypadkowa. Kod QR utrudnia część automatycznych analiz bezpieczeństwa, a jednocześnie wzmacnia wiarygodność komunikatu. Formalny język, ostrzeżenia o postępowaniu egzekucyjnym i presja czasu tworzą klasyczny mechanizm socjotechniczny, który ma skłonić odbiorcę do natychmiastowej reakcji.

Analiza techniczna

Łańcuch ataku jest prosty, ale dobrze dopasowany do środowiska mobilnego. Pierwszy etap obejmuje wysłanie wiadomości SMS informującej o niezapłaconym mandacie, opłacie parkingowej albo innej należności. Nadawca podszywa się pod lokalny urząd, sąd lub instytucję publiczną.

Po zeskanowaniu kodu QR użytkownik zwykle nie trafia od razu na stronę płatności. Najpierw pojawia się witryna pośrednia z testem CAPTCHA, która pomaga ograniczać automatyczne skanowanie i utrudnia analizę infrastruktury przestępczej.

Dopiero po przejściu tego etapu ofiara jest przekierowywana do właściwej strony phishingowej, stylizowanej na serwis urzędu komunikacyjnego lub innej jednostki administracji. Interfejs ma wzbudzać zaufanie i zachęcać do szybkiego uregulowania drobnej należności.

Formularze wykorzystywane w takich kampaniach zazwyczaj zbierają:

  • imię i nazwisko,
  • adres zamieszkania,
  • numer telefonu,
  • adres e-mail,
  • dane karty płatniczej.

Realnym celem nie jest więc sama mikropłatność, lecz pozyskanie kompletnego zestawu danych, które mogą zostać użyte w kolejnych oszustwach, kradzieży tożsamości, nadużyciach finansowych albo sprzedane innym grupom przestępczym.

Konsekwencje / ryzyko

Dla użytkowników indywidualnych zagrożenie obejmuje znacznie więcej niż utratę niewielkiej kwoty. Skutkiem może być przejęcie danych karty, nieautoryzowane transakcje, utrata kontroli nad danymi osobowymi oraz wzrost liczby kolejnych prób oszustwa opartych na wcześniej pozyskanych informacjach.

Z perspektywy organizacji ryzyko również jest istotne. Pracownicy korzystający z telefonów służbowych mogą stać się celem kampanii, a zdobyte dane kontaktowe i identyfikacyjne mogą później posłużyć do bardziej precyzyjnych ataków, takich jak spear phishing czy oszustwa biznesowe.

Rosnące wykorzystanie kodów QR pokazuje, że quishing staje się pełnoprawnym elementem współczesnego krajobrazu zagrożeń. Ataki tego typu wykorzystują fakt, że na ekranie telefonu użytkownik często nie widzi od razu pełnego adresu docelowego i chętniej ufa interakcji realizowanej aparatem.

Rekomendacje

Podstawą ochrony jest przyjęcie zasady ograniczonego zaufania wobec każdej nieoczekiwanej wiadomości SMS żądającej płatności. Szczególną ostrożność należy zachować wtedy, gdy komunikat zawiera groźbę konsekwencji prawnych, blokady usług lub dodatkowych opłat.

  • Nie skanuj kodów QR z niezweryfikowanych wiadomości.
  • Nie podawaj danych osobowych ani płatniczych po wejściu na stronę otwartą z SMS-a.
  • Weryfikuj należności wyłącznie przez samodzielne wejście na oficjalny portal instytucji.
  • Szkol użytkowników z zagrożeń związanych z quishingiem i phishingiem mobilnym.
  • Stosuj rozwiązania bezpieczeństwa dla urządzeń mobilnych wspierające analizę zagrożeń.
  • Monitoruj zgłoszenia dotyczące podejrzanych wiadomości tekstowych.
  • Analizuj i blokuj znane domeny phishingowe oraz nietypowe łańcuchy przekierowań.

Jeżeli ofiara podała dane karty, powinna natychmiast skontaktować się z bankiem, zastrzec kartę i sprawdzić historię transakcji. W przypadku przekazania szerszego zestawu danych osobowych warto również zwiększyć czujność wobec kolejnych prób podszywania się pod banki, urzędy i operatorów usług.

Podsumowanie

Fałszywe powiadomienia o mandatach i opłatach drogowych pokazują, że cyberprzestępcy szybko adaptują techniki socjotechniczne do realiów mobilnych. Zastąpienie linków kodami QR zwiększa skuteczność kampanii, utrudnia detekcję i wpisuje się w rosnący trend quishingu.

Dla zespołów bezpieczeństwa oznacza to konieczność rozszerzenia działań edukacyjnych oraz lepszego monitorowania zagrożeń związanych z SMS-ami i urządzeniami mobilnymi. Nawet jeśli żądana kwota wydaje się niska, rzeczywistą stawką są dane osobowe i finansowe użytkownika.

Źródła

  1. Traffic violation scams switch to QR codes in new phishing texts — https://www.bleepingcomputer.com/news/security/traffic-violation-scams-switch-to-qr-codes-in-new-phishing-texts/
  2. Governor of New York – ostrzeżenia dotyczące oszustw podszywających się pod instytucje stanowe — https://www.governor.ny.gov