Hlavní obsah

Pozor na QR kódy a podvodné weby: Můj příběh a varování pro ostatní

Václav Lehovecký

Médium.cz je otevřená blogovací platforma, kde mohou lidé svobodně publikovat své texty. Nejde o postoje Seznam.cz ani žádné z jeho redakcí.

Foto: Miloš Šmíd

Ilustrační foto k quishingu - podvodům s QR kódy

Rád bych se s vámi podělil o to, co se mi stalo, protože se to může stát komukoli z vás. Je to příběh o tom, jak se snadno člověk nechá oklamat, i když si myslí, že je obezřetný.

Článek

Všechno začalo, když jsem dostal papírový dopis od společnosti PRE – Pražská energetika. Na dopise byl QR kód, který měl vést na oficiální stránky společnosti. Přišlo mi to pohodlné, tak jsem ho naskenoval. Přesně tohle se stalo: Byl jsem přesměrován na jinou, falešnou stránku, než oficiální stránky PRE. Bohužel jsem si ničeho nevšiml a zadal tam své správné telefonní číslo. Během okamžiku mi přišla SMSka s cenou 99 Kč, pravděpodobně od podvodné společnosti ATS Praha, která má prémiové číslo 903 55 099.

Naštěstí mě můj operátor, T-Mobile, okamžitě varoval, že mi zpoplatnil tuto SMSku nad rámec mého tarifu. Zároveň mi nabídl možnost tyto SMSky zablokovat. A to jsem udělal. Udělal jsem asi to jediné, co jsem v danou chvíli mohl a měl. Napsal jsem tento článek, abych vás varoval. Doufám, že se díky mé zkušenosti nikdo z vás nestane obětí podvodníků.

Moje zkušenosti s řešením „podvodu“, pokud to podvod je – asi to bude spíš opravdu moje nepozornost

Následné kroky ukázaly, jak těžké je s takovým problémem bojovat, ačkoliv se zdá, že je celá situace jasná.

  • Jednání s policií: Zkusil jsem se obrátit na státní Policii na jednom pražském obvodu. Bohužel jsem neuspěl. Požádal jsem o sepsání stížnosti, ale policisté mi nebyli schopni pomoci. Jak se to tak říká: jeden byl hodný - přístupnější, druhý „zlý“. Tohle myslím v nadsázce a nechtěl bych se ho dotknout; byl ke mně zdvořilý, to ano, ale méně empatický, neústupný, vlastně ale měl pravdu – nejde o žádný přestupek ani trestný čin, který by byl hodný zaprotokolování a řešení, ale také s tím neměl zkušenosti, což nepřiznal a projevilo se to v tom, že mě odkázal, abych si stěžoval u operátorů, na PRE, obchodní inspekci neboli kdekoli jinde než na Policii – jak se říká, nejlíp ti pomohou na hlaváku na prvním nástuipišti v lampárně. V tu chvíli samozřejmě cítíme absolutní bezmoc a odvoláváte se k jiným podobným, či spíše horším případům podvodů.
  • Jednání s operátorem T-Mobile: Sice jsem okamžitě našel blokaci prémiových SMS a provedl ji, ale když jsem volal na zákaznickou linku 4603, dostalo se mi vysvětlení, že T-Mobile za to nemůže. Bylo mi řečeno, že jsem měl být pozornější při zadávání svého telefonního čísla. Tím operátor odmítl odpovědnost svého zaměstnavatele. Obávám se, že ani při osobní návštěvě na pobočce bych nebyl úspěšnější.
  • Jednání s PRE: Podal jsem stížnost i přímo u PRE. U přepážky, která se zabývá smlouvami, byla přítomna i vedoucí, která údajně QR kód v dopise kontrolovala a tvrdila, že byl v pořádku. Bylo mi doporučeno obrátit se na Policii, ale výsledek už znáte.

Obávám se, že ani jeden z postupů stížnosti mi už nepomůže. Je mi jasné, že celá situace je v podstatě moje chyba. Měl jsem si všimnout, že stránka, na kterou jsem byl přesměrován, byla podezřelá a neměl jsem tam zadávat své mobilní číslo. Přesto jsem udělal to nejdůležitější – všiml jsem si varování operátora, okamžitě jsem zablokoval tyto SMSky a teď varuji ostatní, kteří se mohou stát obětí svých vlastních omylů nebo cizích úmyslů.

Jak se chránit?

Ať už se na podvodné stránky dostanete přes QR kód, e-mail nebo textovou zprávu, vždy buďte ostražití.

  1. Vždy kontrolujte URL adresu: Před zadáním jakýchkoli osobních údajů pečlivě zkontrolujte celou URL adresu v adresním řádku prohlížeče. Falešné stránky mají často drobné odlišnosti (např. pre-online.cz místo pre.cz). Vždy hledejte zelený zámek a protokol HTTPS.
    • Uživatelé se zrakovým postižením, jako já, to mají těžší. Nicméně čtečky obrazovky jako TalkBack (na Androidu) a VoiceOver (na iOS) umí nahlas přečíst celou URL adresu a informovat o stavu zabezpečení, což je klíčové. Je to sice přitěžující problémový aspekt, ale ne neřešitelný.
  1. Nespoléhejte se na QR kódy: I když jsou pohodlné, vždy je bezpečnější zadat adresu webu ručně nebo ji vyhledat přes spolehlivý vyhledávač a kliknout na oficiální odkaz.
    Bylo by fajn, kdyby v podobných tištěných nabídkách byly vedle moderních a pohodlnějších QR kódů i URL adresy typu ve zkrácené formě např. v případě PRE https://1url.cz/WJpaf (zkrácení jsem vytvořil sám a vede na web s aktuálními slevami) nebo vymyšlená www.pre.cz/slevy_a_fixace .
  2. Okamžitě zablokujte prémiové SMS: Pokud se dostanete do podobné situace, okamžitá blokace u operátora je zásadní pro zabránění dalším škodám.
  3. Zkontrolujte si připojení: tedy zabezpečení Vašeho modemu a nebo také nechoďte na weby, zvláště přes QR kódy, z kaváren či jiných veřejných wifi, např. ve vlaku přes ČD wifi. Tyto wifi sítě nebývají dostatečně zabezpečené.

Váš modem například od kabelového připojení Vodafone funguje jako brána, která vám poskytuje internetové připojení. On sám nerozpozná, jestli je QR kód, který skenujete, falešný, ani nepozná, že vás nějaká webová stránka podvádí, protože se vydává za PRE. Ten útok probíhá spíše na úrovni uživatelského chování a vašeho zařízení, než na úrovni sítě samotné. Přesto je důležité mít modem zabezpečený.

Jak zabezpečit modem od Vodafone (nebo jiných poskytovatelů připojení)

I když to nezabrání quishingu, správné zabezpečení modemu zabrání, aby se k němu někdo nepovolaný dostal zvenčí.

  1. Změňte výchozí heslo Toto je to nejdůležitější. Výrobci modemů (a operátoři) často používají slabá výchozí hesla nebo ta, která jsou vytištěna na štítku na modemu. Zlodějům to usnadňuje přístup.
    • Přihlaste se do administračního rozhraní modemu (obvykle zadáním 192.168.0.1 nebo 192.168.1.1 do adresního řádku prohlížeče).
    • Najděte sekci Administrace nebo Zabezpečení a změňte výchozí heslo za silné a jedinečné heslo.
  1. Aktualizujte firmware modemu Firmware je software, který běží v modemu. Výrobci a operátoři pravidelně vydávají aktualizace, které opravují bezpečnostní chyby.
    • Vodafone obvykle provádí aktualizace firmwaru automaticky během noci. Nemusíte se o to starat, ale je dobré vědět, že to probíhá.
    • Pokud máte starší modem, který aktualizace nepřijímá, zvažte jeho výměnu.
  1. Zkontrolujte nastavení DNS: DNS (Domain Name System) je jako telefonní seznam internetu. Převádí názvy webových stránek na IP adresy. Útoky mohou manipulovat s DNS, aby vás přesměrovaly na falešné weby.
    • V administračním rozhraní modemu se ujistěte, že nastavení DNS jsou na automatickém režimu (od operátora) nebo používáte důvěryhodné veřejné DNS servery jako je Google DNS (8.8.8.8) nebo Cloudflare (1.1.1.1).

Nejdůležitější obrana je na vašem zařízení a ve vašem chování

Mé zkušenost jasně ukazuje, že nejúčinnější ochrana se odehrává na mobilu nebo počítači, a především ve naší hlavě.

  1. Vždy ověřujme URL adresy: Před odesláním jakýchkoli osobních údajů nebo plateb se ujistěme, že URL adresa v adresním řádku je správná.
  2. Používejme spolehlivé antivirové programy jak v PC, tak i na mobilu: Software na vašem zařízení by měl být schopen zachytit škodlivé aktivity, i když je síť v pořádku.
  3. Přemýšlejme předtím, než klikneme/naskenujeme QR kód: Než naskenujeme QR kód nebo klikneme na odkaz pod ním, zkontrolujme zdroj a zamysleme se, jestli je to opravdu oficiální a bezpečné.

Jak zablokovat prémiové SMS u českých operátorů?

T-Mobile: V samoobsluze Můj T-Mobile (web/app) v sekci „Platební a Premium SMS“ nebo na zákaznické lince 800 737 373O2: V samoobsluze Moje O2 (web/app) v sekci „Služby“ -> „Blokace“ nebo na zákaznické lince 800 02 02 02Vodafone:V samoobsluze Můj Vodafone (web/app) v sekci „Služby“ -> „Blokování“ nebo na zákaznické lince *77 nebo 800 77 00 77.

Proč se vůbec QR kódy používají?

QR kódy jsou velmi užitečné, když vedou na ověřené a bezpečné zdroje. Jsou výhodné například u odkazů, ať už tištěných nebo na obrazovce. kde vás kód přesně přesměruje na správnou, často složitou URL adresu nebo vám umožní spárování vašeho účtu WhatsAppu na mobilu s aplikací v PC nebo se vám ve vaší bankovní aplikaci správně vyplní číslo účtu a další údaje, např. variabilní symbol toho, komu chcete zaplatit, např. startovné na nějakou soutěž.

Mým cílem není, abyste se báli QR kódů. Mým cílem je, abyste byli obezřetní a při jejich skenování a zadávání údajů věnovali vždy maximální pozornost. I když jsem já udělal chybu, díky včasné blokaci jsem se vyhnul dalším ztrátám. Učte se z mých chyb.

Varování České Policie, které představuje různé podobné metody podvodů, včetně podvodu s QR kódy, kterému se říká:

Quishing – forma phishingu, která využívá QR kódy jako lákadlo k odkázání uživatelů na podvodné stránky. Po naskenování falešného QR kódu můžete být přesměrováni na podvodné stránky, které mohou vypadat téměř autenticky s originálními stránkami, bude zde požadavek na různé přihlašovací, citlivé údaje.

Chcete vědět o tomto tématu více – zadejte do vyhledávače Google quishing.

Máte na tohle téma jiný názor? Napište o něm vlastní článek.

Napsat článek

Texty jsou tvořeny uživateli a nepodléhají procesu korektury. Pokud najdete chybu nebo nepřesnost, prosíme, pošlete nám ji na medium.chyby@firma.seznam.cz.

Související témata:
Počítač

Sdílejte s lidmi své příběhy

Stačí mít účet na Seznamu a můžete začít psát. Ty nejlepší články se mohou zobrazit i na hlavní stránce Seznam.cz

Chci začít psát
Jak na to?

Další články autora

Doporučované

Načítám