Σταματάς το αυτοκίνητο, βγαίνεις βιαστικός και πας να πληρώσεις στο παρκόμετρο. Πάνω του υπάρχει ένα καθαρό αυτοκόλλητο: «Σκάναρε για γρήγορη πληρωμή». Σκανάρεις, ανοίγει μια σελίδα που μοιάζει επίσημη, βάζεις την κάρτα σου - και μέσα σε λίγα λεπτά η τράπεζα σε παίρνει για μια συναλλαγή που δεν έκανες. Το τετράγωνο που σκάναρες δεν ανήκε στον δήμο. Το κόλλησε ένας απατεώνας από πάνω.
Αυτή η μέθοδος έχει όνομα: quishing, από τις λέξεις QR και phishing. Αντί να σου στείλει έναν ύποπτο σύνδεσμο που μπορεί να εξετάσεις με προσοχή, σου σερβίρει έναν κωδικό QR. Εσύ τον σκανάρεις χωρίς δεύτερη σκέψη, η κάμερα ανοίγει μια διεύθυνση που δεν προλαβαίνεις να διαβάσεις, και βρίσκεσαι σε μια σελίδα-καρμπόν της τράπεζας ή της υπηρεσίας σου.
Γιατί ο κωδικός QR παρακάμπτει την επιφυλακτικότητά σου
Όταν λαμβάνεις ένα SMS με σύνδεσμο, ένα κομμάτι του μυαλού σου είναι πια εκπαιδευμένο: κοιτάς τη διεύθυνση, ψάχνεις το παράξενο γράμμα, υποψιάζεσαι. Με τον κωδικό QR αυτή η άμυνα εξαφανίζεται. Το τετράγωνο δεν λέει τίποτα στον άνθρωπο - μόνο η κάμερα το διαβάζει. Δεν βλέπεις πού πας μέχρι να έχεις ήδη φτάσει.
Υπάρχει και μια δεύτερη παγίδα. Πολλά τηλέφωνα δείχνουν τη διεύθυνση για ένα δευτερόλεπτο και μετά την ανοίγουν αυτόματα ή σου ζητούν απλώς να πατήσεις «Άνοιγμα». Η διεύθυνση συχνά είναι κοντή ή «μασκαρεμένη» με υπηρεσία συντόμευσης, οπότε ακόμη κι αν προλάβεις να ρίξεις μια ματιά, δεν καταλαβαίνεις πού οδηγεί. Ο απατεώνας στηρίζεται ακριβώς σε αυτή τη μισή προσοχή.
Το τρίτο στοιχείο είναι το πλαίσιο. Ο κωδικός βρίσκεται κάπου που τον εμπιστεύεσαι: πάνω σε ένα παρκόμετρο, σε ένα φυλλάδιο, στο τραπέζι ενός εστιατορίου. Το φυσικό περιβάλλον δανείζει κύρος στο τετράγωνο, ακόμη κι αν το κόλλησε εκεί κάποιος ξένος πριν από δέκα λεπτά.
Πού στήνεται η παγίδα: πέντε τυπικά σενάρια
Το quishing δεν είναι μία μόνο κομπίνα, αλλά μια οικογένεια από παραλλαγές. Οι πιο συχνές που κυκλοφορούν εκμεταλλεύονται καθημερινές στιγμές, εκεί που βιάζεσαι ή δεν περιμένεις τίποτα κακό.
| Σενάριο | Πώς μοιάζει | Τι θέλει ο απατεώνας |
|---|---|---|
| Αυτοκόλλητο σε παρκόμετρο | «Σκανάρετε για πληρωμή στάθμευσης» | Στοιχεία κάρτας σε ψεύτικη σελίδα |
| Ψεύτικο «πρόστιμο» ή κλήση | Χαρτί στο παρμπρίζ ή κλήση με QR για «εξόφληση» | Πληρωμή και στοιχεία κάρτας |
| «Επιπλέον χρέωση δέματος» | SMS ή email: σκανάρετε για μικρό τέλος παράδοσης | Μικρό ποσό τώρα, στοιχεία κάρτας για το μέλλον |
| Μενού ή φυλλάδιο | QR σε τραπέζι ή διαφημιστικό που οδηγεί αλλού | Λήψη κακόβουλης εφαρμογής ή κωδικοί |
| Ψεύτικο QR πληρωμής | Κολλημένο πάνω από το γνήσιο σε ταμείο | Η πληρωμή πηγαίνει στον απατεώνα |
Το κοινό στοιχείο σε όλα είναι ένα: ένας κωδικός που σε οδηγεί κάπου που δεν έλεγξες ποτέ, με την προτροπή να πληρώσεις ή να δώσεις στοιχεία γρήγορα. Όσο πιο επείγον ακούγεται το μήνυμα, τόσο μεγαλύτερη η πιθανότητα να είναι παγίδα.
Πώς διαφέρει από το smishing
Με το smishing και τα ψεύτικα SMS, ο φορέας της απάτης είναι το γραπτό μήνυμα με τον σύνδεσμο μέσα. Εκεί μπορείς να δεις τη διεύθυνση, να την αντιγράψεις, να την ψάξεις. Στο quishing ο φορέας είναι ο κωδικός QR: ένας οπτικός κώδικας που κρύβει τη διεύθυνση μέχρι τη στιγμή που τη σκανάρεις.
Η ουσία της απάτης είναι ίδια - σε στέλνουν σε ψεύτικη σελίδα για να κλέψουν στοιχεία ή χρήματα. Αλλάζει όμως το κανάλι, και μαζί η αμυντική σου κίνηση. Στο SMS κοιτάς το κείμενο. Στο QR πρέπει να σταματήσεις πριν ανοίξεις τη σελίδα και να ελέγξεις την προεπισκόπηση της διεύθυνσης που σου δείχνει η κάμερα.
Πώς ελέγχεις τη διεύθυνση πριν την ανοίξεις
Το καλό νέο είναι ότι ο έλεγχος παίρνει δευτερόλεπτα, αρκεί να τον κάνεις συστηματικά. Τα περισσότερα σύγχρονα τηλέφωνα σου δείχνουν τη διεύθυνση ως προεπισκόπηση μόλις σκανάρεις, πριν ανοίξει η σελίδα.
- Διάβασε ολόκληρη τη διεύθυνση, όχι μόνο την αρχή. Οι απατεώνες βάζουν το γνωστό όνομα στη μέση ή σε υποτομέα, π.χ. κάτι σαν «trapeza.example-pay.com», όπου το πραγματικό όνομα είναι το δεύτερο.
- Ψάξε το πραγματικό όνομα τομέα, δηλαδή το τελευταίο κομμάτι πριν την κατάληξη. Αυτό δείχνει σε ποιον ανήκει η σελίδα.
- Καχυποψία σε συντομευμένες διευθύνσεις. Αν η προεπισκόπηση δείχνει υπηρεσία συντόμευσης που κρύβει τον πραγματικό προορισμό, μην προχωράς.
- Μην εγκαθιστάς εφαρμογή που σου προτείνει η σελίδα μετά το σκανάρισμα. Καμία νόμιμη πληρωμή δεν απαιτεί νέα εφαρμογή από άγνωστη πηγή.
- Μην βάζεις ποτέ στοιχεία κάρτας ή κωδικούς σε σελίδα στην οποία έφτασες από QR που δεν έλεγξες.
Αν έχεις την παραμικρή αμφιβολία, ο πιο ασφαλής δρόμος είναι να αγνοήσεις τον κωδικό και να πας μόνος σου στην επίσημη υπηρεσία: πληκτρολόγησε τη διεύθυνση στο πρόγραμμα περιήγησης ή χρησιμοποίησε την επίσημη εφαρμογή της τράπεζας ή του δήμου.
Το ψεύτικο QR πληρωμής στο φυσικό κατάστημα
Μια ιδιαίτερα ύπουλη παραλλαγή δεν έχει καν SMS ή email. Ο απατεώνας κολλάει το δικό του αυτοκόλλητο QR πάνω από το γνήσιο, σε ένα ταμείο, σε μια λαϊκή ή σε έναν πάγκο. Εσύ σκανάρεις νομίζοντας ότι πληρώνεις τον έμπορο, αλλά τα χρήματα πηγαίνουν στον λογαριασμό του απατεώνα.
Η άμυνα εδώ είναι απλή. Πριν στείλεις χρήματα, κοίτα σε ποιον δικαιούχο πάει η πληρωμή - το όνομα πρέπει να ταιριάζει με τον έμπορο. Αν το αυτοκόλλητο φαίνεται κολλημένο πρόχειρα πάνω σε άλλο, ή αν ο δικαιούχος είναι ένα άγνωστο όνομα ιδιώτη, σταμάτα και ρώτησε το προσωπικό. Ένα γνήσιο κατάστημα δεν θα ενοχληθεί από την ερώτηση.
Τι κάνεις αν σκάναρες και έδωσες στοιχεία
Αν κατάλαβες αργά ότι έπεσες σε quishing, η ταχύτητα μετράει περισσότερο από την ντροπή. Όσο πιο γρήγορα ειδοποιήσεις την τράπεζα, τόσο πιο πιθανό να σταματήσει ή να αντιστραφεί η ζημιά.
- Κάλεσε αμέσως την τράπεζα στον αριθμό που είναι τυπωμένος στην κάρτα σου και ζήτησε μπλοκάρισμα.
- Άλλαξε τους κωδικούς που τυχόν πληκτρολόγησες στην ψεύτικη σελίδα.
- Αν εγκατέστησες εφαρμογή, απεγκατέστησέ την και κάνε έλεγχο της συσκευής.
- Κράτησε στιγμιότυπα και τον ύποπτο κωδικό ή τη διεύθυνση ως αποδεικτικά.
- Κάνε καταγγελία στη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος (11188).
Αναλυτικά βήματα για την περίπτωση που έχεις ήδη δώσει στοιχεία θα βρεις στον οδηγό μας για το τι κάνεις όταν έδωσες στοιχεία σε απάτη. Όσο πιο νωρίς δράσεις, τόσο καλύτερα.
Συχνές ερωτήσεις
Μπορεί ένας κωδικός QR από μόνος του να «κολλήσει» ιό στο τηλέφωνο;
Ο κωδικός QR είναι απλώς ένας τρόπος κωδικοποίησης μιας διεύθυνσης ή κειμένου. Δεν εγκαθιστά τίποτα μόνος του. Ο κίνδυνος έρχεται μετά: από τη σελίδα που ανοίγεις, από τα στοιχεία που πληκτρολογείς ή από μια εφαρμογή που σε πείθουν να εγκαταστήσεις. Η άμυνα είναι να ελέγχεις τη διεύθυνση και να μην εγκαθιστάς τίποτα.
Είναι όλοι οι κωδικοί QR στα εστιατόρια επικίνδυνοι;
Όχι. Οι περισσότεροι είναι απολύτως νόμιμοι και οδηγούν στο μενού. Πρόσεχε όμως αν ο κωδικός σου ζητήσει στοιχεία κάρτας, σύνδεση σε λογαριασμό ή εγκατάσταση εφαρμογής. Ένα μενού δεν χρειάζεται τίποτα από αυτά.
Πώς καταλαβαίνω ότι ένα αυτοκόλλητο QR είναι ψεύτικο;
Συχνά είναι κολλημένο πάνω από κάτι άλλο, φαίνεται πρόχειρο ή βρίσκεται σε σημείο που δεν ταιριάζει. Σε παρκόμετρα και μηχανήματα πληρωμής, το πιο ασφαλές είναι να χρησιμοποιείς την επίσημη εφαρμογή ή τη μέθοδο πληρωμής που αναγράφεται μόνιμα πάνω στο μηχάνημα, όχι ένα αυτοκόλλητο.
Διαφέρει το quishing από την κλήση του ψεύτικου τραπεζικού υπαλλήλου;
Είναι διαφορετικός φορέας αλλά συχνά συνδυάζονται. Δες πώς λειτουργεί η φωνητική εκδοχή στον οδηγό για τον ψεύτικο υπάλληλο τράπεζας στο τηλέφωνο. Το quishing σε φέρνει στη σελίδα, η κλήση σε πιέζει να ολοκληρώσεις.
Συνοπτικά
Το quishing δεν είναι κάτι εξωτικό - είναι το παλιό phishing με νέο περιτύλιγμα, που εκμεταλλεύεται ένα τετράγωνο το οποίο εμπιστευόμαστε χωρίς σκέψη. Η άμυνα δεν απαιτεί τεχνικές γνώσεις: σταμάτα πριν ανοίξεις τη σελίδα, διάβασε ολόκληρη τη διεύθυνση, και μην δίνεις ποτέ στοιχεία κάρτας ή κωδικούς σε σελίδα που έφτασες σκανάροντας έναν άγνωστο κωδικό. Όταν αμφιβάλλεις, άφησε τον κωδικό και πήγαινε μόνος σου στην επίσημη πηγή.