Zeskanuj ten QR i daj mi swoje SMS-y

Przeglądając Facebookową grupę Scam – podstawione strony i inne oszustwa trafiliśmy na ciekawy nowy model wyłudzenia. Nie spotkaliśmy się z czymś takim do tej pory, tymczasem przy dobrej socjotechnice może się on okazać całkiem skuteczny.

O co chodzi? Pod pozorem podpisania petycji na remont schroniska (na wielu ludzi bardzo działa krzywda zwierząt) ofiara zeskanowała kod QR. Niby nic takiego, co może zrobić kod QR?

W tym przypadku akurat może. Okazuje się bowiem, że podrzucony kod służy do… parowania wiadomości w telefonie z Androidem z komputerem. Jeśli zeskanujemy go telefonem, na komputerze nadawcy z uruchomioną aplikacją Google Messages pojawi się kopia wiadomości SMS ofiary! Co więcej, aplikacja na stronie pozwala nie tylko na odebranie, ale również… wysłanie wiadomości niejako „w imieniu” telefonu. Ta oczywiście pokaże się w telefonie, ale jeśli nie zwrócimy na to uwagi – może się okazać, że ktoś np. użył naszego numeru do mobilnej płatności.

Rozwiązanie? Po pierwsze – jeśli zeskanujemy kod, przed wejściem na stronę warto sprawdzić jej adres. W opisywanym przypadku byłaby to strona Google, więc po drugie – cóż, nie skanować QR-ów od nieznanych ludzi z sieci. Tym bardziej, że bez sensu jest skanowanie QR-kodu, gdy komunikatorem można po prostu wysłać linka.

Uważajcie!