Rozklejają fałszywe kody QR na przystankach. Jedna chwila i wyczyszczą ci konto

Na przystankach komunikacji miejskiej w Jeleniej Górze pojawiły się fałszywe naklejki z kodami QR, które udają usługę sprawdzania godziny przyjazdu autobusu. W rzeczywistości mogą prowadzić na płatne lub niebezpieczne strony, zagrażając zarówno portfelowi, jak i danym pasażerów. Miasto ostrzega przed oszustami i apeluje o czujność.

Samorząd Jeleniej Góry poinformował o pojawieniu się na wiatach i słupkach przystankowych nielegalnych naklejek z kodami QR. Ich treść sugeruje, że po zeskanowaniu smartfonem pasażer zobaczy dokładną godzinę przyjazdu autobusu.

Problem jednak w tym, że nie są to oficjalne oznaczenia komunikacji miejskiej. Miasto wprost nazywa je działaniem nieuczciwym i potencjalnie niebezpiecznym. Po zeskanowaniu kodu użytkownik może zostać przekierowany na stronę, która nalicza opłaty albo próbuje wymusić określone działania, np. podanie danych czy zgodę na dodatkowe usługi.

"Ostrzegamy: są to działania nieuczciwe i potencjalnie niebezpieczne. Zeskanowanie takiego kodu QR może przekierować użytkownika na stronę internetową, która nalicza opłaty lub może prowadzić do innych niepożądanych konsekwencji, w tym zagrożeń dla bezpieczeństwa danych" – czytamy w komunikacie wydanym przez miasto.

Władze apelują, by nie skanować nieznanych kodów QR z przypadkowych naklejek na przystankach, korzystać wyłącznie z oficjalnych aplikacji oraz serwisów operatora komunikacji i zgłaszać fałszywe oznaczenia odpowiednim służbom lub bezpośrednio do urzędu miasta. Służby miejskie rozpoczęły już usuwanie naklejek, ale podkreślają, że bez wsparcia pasażerów szybkie wyłapanie wszystkich miejsc będzie trudne.

Służby miejskie w Jeleniej Górze zapowiadają systematyczne usuwanie fałszywych naklejek. Skala zjawiska jest jednak trudna do oszacowania – oszuści mogą doklejać kolejne kody w różnych punktach miasta. Właśnie dlatego samorząd wprost prosi mieszkańców o współpracę: jeśli zauważysz podejrzaną naklejkę, lepiej od razu zgłosić ją odpowiednim służbom lub do urzędu.

Na pierwszy rzut oka kod QR to tylko zwykły, wygodny odnośnik do strony internetowej. Różnica polega na tym, że użytkownik nie widzi adresu, zanim nie zeskanuje go aparatem. Jest więc to idealne środowisko dla oszustów – ukryty za kwadratem wzór może prowadzić dosłownie dokądkolwiek.

W najłagodniejszym scenariuszu pasażer trafi na stronę, która próbuje wymusić zgodę na płatną subskrypcję, np. usługi premium, rozkładu jazdy czy powiadomień SMS. Kilka wykonanych bez zastanowienia kliknięć może skończyć się doliczaniem opłat do rachunku telefonicznego albo obciążeniem karty.

Groźniejszy wariant to witryny nastawione na wyłudzanie danych. Strona może udawać panel bankowości elektronicznej, bramkę płatniczą czy logowanie do popularnej aplikacji, prosząc o login, hasło, numer karty albo kod z SMS. Wprowadzenie takich danych to w praktyce oddanie kontroli nad pieniędzmi w cudze ręce.

Ryzykowne są także witryny nakłaniające do instalacji aplikacji spoza oficjalnego sklepu App Store czy Google Play. Na ekranie pojawia się komunikat o konieczności "doinstalowania dodatku" albo "aktualizacji", a w tle pobierane jest złośliwe oprogramowanie. Taki program może podglądać SMS-y, przechwytywać kody autoryzacyjne, a nawet przejmować część kontroli nad telefonem.

Wszystkie te scenariusze łączy jedna rzecz: użytkownik ma poczucie, że korzysta z wygodnej funkcji, tymczasem wykonuje operacje finansowe lub udostępnia wrażliwe dane osobom trzecim.

Jeśli nie masz pewności, że kod QR pochodzi od miasta lub operatora komunikacji, traktuj go jak podejrzany link w spamie. Warto zwrócić uwagę na kilka sygnałów ostrzegawczych. Jeżeli naklejka wygląda inaczej niż pozostałe oznaczenia na przystanku, ma krzykliwy opis albo jest naklejona krzywo, lepiej jej nie skanować. Niepokoić powinien także brak jakiegokolwiek logo miasta czy przewoźnika oraz brak jasnej informacji, kto odpowiada za usługę.

Jeśli mimo wszystko zeskanujesz kod, jeszcze przed kliknięciem w wynik warto sprawdzić adres strony wyświetlany w przeglądarce. Długi, dziwny link, dziwne domeny lub brak szyfrowania (brak https na początku lub certyfikatu bezpieczeństwa, czyli charakterystycznej "kłódeczki") to sygnały, by się wycofać. Każda prośba o podanie numeru karty, loginów bankowych czy kodów SMS w kontekście zwykłego sprawdzania autobusu powinna od razu zapalić czerwoną lampkę.

Najbezpieczniej jednak w ogóle nie opierać się na kodach fizycznie przyklejonych do przystanku, jeśli nie masz pewności co do ich pochodzenia. Warto dodać do ulubionych oficjalną stronę przewoźnika albo korzystać z popularnych aplikacji do planowania podróży, które łączą rozkłady jazdy z wielu miast.