A QR-kód (Quick Response kód) egy kétdimenziós vonalkód. Nevét az angol Quick Response (=gyors válasz) rövidítéséből kapta, egyszerre utalva a gyors visszafejtési sebességre és a felhasználó által igényelt gyors reakcióra. Bármilyen irányból készülhet róla fénykép vagy szkennelt kép, nem kell törődni a kód helyes tájolásával. A kód megfejtésére, dekódolására szolgáló programok a három sarokban elhelyezett jellegzetes, minden QR-kódban azonos minta alapján el tudják dönteni, milyen irányban kell a kód pontjait értelmezni, feldolgozni, még akkor is, ha a kódbélyegről készült kép teljesen ferde.

A QR-kódok alapvető problémája, hogy nem tudjuk ellenőrizni, hogy a beolvasásuk mit fog eredményezni, ezért megbízunk a készítőikben. Azt sem tudhatjuk, mi mindent tartalmaz egy QR-kód, még akkor sem, ha mi magunk készítjük el a sajátunkat. Emiatt a QR-kód nagyon könnyen kihasználható csalás elkövetésére, amit „quishingnek” (QR-code phishing) is neveznek.

Hollandiában jelentettek olyan eseteket, hogy a csalók az utcán szólították meg az áldozatot, hogy gyorsan segítsenek rajtuk egy csekély összeg, például a parkolási díj vagy egy buszjegy kifizetésével. A pénzt egy QR-kód beolvasásával, és a fizetési adatok megadásával tudták volna elküldeni, azonban valójában egy csaló weboldal jelent meg, amin az áldozatok megadták a bankkártya adataikat, ami így a csalók birtokába jutott.

Texas államban a csalók több száz parkoló automatán egyszerűen átragasztották a QR-kódot egy „gyorsabb parkolási fizetést ígérő” weboldalra. Azok a parkolók, akik ezt beszkennelték, nem a pakolást rendezték, hanem a csalóknak utalták a pénzt.

Hazai esetről is tudunk, az NBSZ NKI-hoz is érkezett már olyan bejelentés, amiben az adathalász e-mail QR-kódot tartalmazott.

Mit tehetünk az ellen, hogy QR kódos csalás áldozatává váljunk?

• Nézzük meg a QR-kód helyét!

• Az ördög a részletekben lakozik!

• Ellenőrizzük a QR kód tartalmát!

• Ne osszunk meg érzékeny adatokat!

A legtöbb bank mobil alkalmazásában, a „QR olvasás” funkcióval fizethetünk, valamint a “fizetési kérelmek”-kel létrehozhatunk QR-kódot. Az azonnali fizetési QR-kód beolvasását követően az átutalási megbízási űrlapon megjelenik a kedvezményezett neve, a kedvezményezett bankszámlaszáma és az átutalandó összeg forintban. Azt fontos tudnunk, hogy a bankok nem ellenőrzik, hogy a kedvezményezett neve és a kedvezményezett számlaszáma összetartozik-e. Hiába szerepel a kedvezményezett neve rovatban az általunk ismert szolgáltató neve, ha a kedvezményezett számlaszám a csalóé.

Fontos, hogy tisztában legyünk alap szinten a QR-kódos csalásokkal, mivel 2023. január 1-jén hatályba lépett a pénzforgalom lebonyolításáról szóló rendelet módosítása, amely tartalmazza az azonnali fizetési ökoszisztéma továbbfejlesztésével (AFR2.0) kapcsolatos kötelezettségeket és határidőket is. 2023. szeptember 1-től az azonnali fizetési tranzakciók értékhatára 10 millió forintról 20 millió forintra nőtt, 2024. április 1-től minden pénzforgalmi szolgáltató köteles fizetési kérelmet fogadni és az egységes adatbeviteli szabványt (QR, NFC, deeplink) 2024. szeptember 1-től kell alkalmazni.

Az eredeti cikk itt olvasható:

https://nki.gov.hu/it-biztonsag/tanacsok/hogyan-cselezhetjuk-ki-a-qr-kodos-csalokat/