Tako rzecze BOŚ:

>
04.01.2019
Temat: Komunikat w sprawie skanowania przez użytkowników smartfonów kodów QR z naklejek bezprawnie umieszczanych na bankomatach.
Treść:

Departament Bezpieczeństwa Banku ostrzega użytkowników smartfonów przed skanowaniem kodów QR z naklejek, które są w ostatnim czasie bezprawnie umieszczane na bankomatach. Naklejki z kodami QR zamieszczane są bez zgody i wiedzy ich właścicieli tj. banków oraz sieci bankomatowych i nie są w żaden sposób powiązane z jakimikolwiek usługami bankowymi.

Jest to celowe działanie przestępców na szkodę użytkowników bankomatów.

Mechanizm działania

Użytkownicy bankomatów  są w ten sposób zachęcani np. do udziału w loteriach z nagrodami. W tym przypadku, po zeskanowaniu kodu QR z naklejki  następuje przekierowanie do usługi SMS PREMIUM, co z kolei powoduje naliczenie wysokich opłat za jej włączenie.

Kody QR mogą zarówno inicjować wyłudzenie, jak również zostać wykorzystane do podstawiania oszukańczych platform, których celem jest wyłudzenie loginów i haseł do serwisów pocztowych, mediów społecznościowych, bankowości elektronicznej, usług publicznych, jak również do zainfekowania smartfonów szkodliwym oprogramowaniem.

Departament Bezpieczeństwa BOŚ zaleca ostrożność w skanowaniu kodów QR, szczególnie tych niewiadomego pochodzenia, udostępnianych w miejscach publicznych.


Klienci BOŚ S.A., którzy staną się ofiarą przestępstwa, powinni niezwłocznie zawiadomić Bank i/lub przedsiębiorcę telekomunikacyjnego oraz złożyć zawiadomienie o podejrzeniu popełnienia przestępstwa w jednostce Policji.


Zespół BOŚBanku
>

I jak to piszą na grupach kolejarskich: Zainteresowanych powiadomić! ;)

K.

--
http://www.krystek.art.pl/

W dniu 09.01.2019 o 00:45, Krystek pisze:

I jak to piszą na grupach kolejarskich: Zainteresowanych powiadomić! ;)

Dzięki. Masz rację, przypominania nigdy za mało.
28.12.2018 https://tvn24bis.pl/z-kraju,74/policja-ostrzega-przed-kodami-qr-umieszczanymi-na-bankomatach,895585.html
27.12.2018 (20:22) http://next.gazeta.pl/next/7,151003,24313505,bankowcy-i-policja-ostrzegaja-przed-skanowaniem-kodow-qr-z-naklejek.html
27.12.2018 (godzina nieznana) http://www.policja.pl/pol/aktualnosci/167879,Ostrzezenie-przed-QR-kodami-umieszczanymi-na-bankomatach.html
27.08.2018 https://niebezpiecznik.pl/post/zlosliwa-nalepka-na-bankomacie/


--
Alf/red/

Alf/red/ <alf_1811@ump.waw.pl> writes:

27.08.2018 https://niebezpiecznik.pl/post/zlosliwa-nalepka-na-bankomacie/

A jak ktoś umieści taki QR code na, za przeproszeniem, płocie (por.
kawał o napisie na płocie), to też "skanują" i płacą za jakiegoś SMSa
premium? I to jeszcze może automatycznie?

To jakaś masakra.
--
Krzysztof Hałasa

Dnia Fri, 11 Jan 2019 19:34:43 +0100, Krzysztof Halasa napisał(a):

Alf/red/ <alf_1811@ump.waw.pl> writes:

27.08.2018 https://niebezpiecznik.pl/post/zlosliwa-nalepka-na-bankomacie/

A jak ktoś umieści taki QR code na, za przeproszeniem, płocie (por.
kawał o napisie na płocie), to też "skanują" i płacą za jakiegoś SMSa
premium? I to jeszcze może automatycznie?

Automatycznie to w Androidzie 9 :-)

Kodu z plotu moze nie zeskanujesz, dobrze opisany kod z bankomatu -
tak.
Np "w razie problemow zeskanuj kod aby polaczyc sie z Infolinia".
Albo "bezplatna aplkacja do wyplaty pieniedzy".

To jakaś masakra.

Zabezpieczenia w Androidzie ? Istotnie masakra :-)

J.

Date: Fri, 11 Jan 2019 20:26:14
From: J.F.

Dnia Fri, 11 Jan 2019 19:34:43 +0100, Krzysztof Halasa napisał(a):

Alf/red/ <alf_1811@ump.waw.pl> writes:

27.08.2018 https://niebezpiecznik.pl/post/zlosliwa-nalepka-na-bankomacie/

A jak ktoś umieści taki QR code na, za przeproszeniem, płocie (por.
kawał o napisie na płocie), to też "skanują" i płacą za jakiegoś SMSa
premium? I to jeszcze może automatycznie?

Automatycznie to w Androidzie 9 :-)

Do skanowania kodu trzeba użyć jakiejś aplikacji. Jeśli ta aplikacja
robi coś automatycznie po odczytaniu zawartości kodu, no to faktycznie
masakra, ale nikt rozsądny nie powinien takiej aplikacji używać.

Pozdrawiam,
Dominik

--
Fedora   https://getfedora.org  |  RPM Fusion  http://rpmfusion.org
There should be a science of discontent. People need hard times and
oppression to develop psychic muscles.
        -- from "Collected Sayings of Muad'Dib" by the Princess Irulan

Dominik 'Rathann' Mierzejewski <_wstaw_nick_@greysector.net> writes:

Do skanowania kodu trzeba użyć jakiejś aplikacji. Jeśli ta aplikacja
robi coś automatycznie po odczytaniu zawartości kodu, no to faktycznie
masakra, ale nikt rozsądny nie powinien takiej aplikacji używać.

No ale co może zrobić automatycznie? Może spróbować otworzyć stronę
z takim URLem. Od tego nic złego nie powinno się automatycznie stać.

Jeśli dobrze zrozumiałem, te całe internetowe "premium SMS" tak nie
działają, musi być jeszcze strona pośrednia wyświetlająca odpowiednie
informacje (generowana przez operatora?) i dopiero tam można zatwierdzić
transakcję. Nie da się (jak rozumiem) zrobić linku
"https://xxx.yyy... & suma=100 zł & sprzedawca=zły_hacker", bo strona
zatwierdzająca płatność sprawdza, czy odpowiada jej przed chwilą
otworzona strona z informacjami.

To działa inaczej?
--
Krzysztof Hałasa

W dniu 09.01.2019 o 00:45, Krystek pisze:

Tako rzecze BOŚ:

 >
04.01.2019
Temat:     Komunikat w sprawie skanowania przez użytkowników smartfonów kodów QR z naklejek bezprawnie umieszczanych na bankomatach.

Oops
https://zaufanatrzeciastrona.pl/post/uwaga-na-zlosliwe-kody-qr-na-bankomatach-ktorych-nikt-nie-widzial/


--
Alf/red/

Alf/red/ <alf_1901@ump.waw.pl> writes:

Temat:     Komunikat w sprawie skanowania przez użytkowników
smartfonów kodów QR z naklejek bezprawnie umieszczanych na
bankomatach.

Oops
https://zaufanatrzeciastrona.pl/post/uwaga-na-zlosliwe-kody-qr-na-bankomatach-ktorych-nikt-nie-widzial/

Teoretycznie jest możliwość zapłacenia (jeśli ktoś tego sobie nie
zablokował) przez "wejście" na jakiś link, tyle że przynajmniej
teoretycznie to powinno być bezpieczne - tzn. wcześniej powinny
wyświetlać się dokładne informacje, zakładam że taka "strona" powinna
sprawdzać, czy na link kliknięto na niej, czas życia linku powinien być
krótki itd. I, zdaje się, wiadomo wtedy komu zapłacono, strona podlega
audytowi operatora, jest możliwość reklamacji itd.
--
Krzysztof Hałasa

W dniu 17.01.2019 o 16:22, Krzysztof Halasa pisze:

Teoretycznie jest możliwość zapłacenia (jeśli ktoś tego sobie nie
zablokował) przez "wejście" na jakiś link

Tak i nie, bo trzeba się naklikać, żeby zapłacić. Chociażby żeby wybrać bank, bo chyba nie ma "uniwersalnego sposobu zapłaty w internecie bez wskazania banku ani karty". Już prędzej jakieś zarażenie telefonu. Ale ludzie są ... nierozsądni. I włażą, i klikają.
No ale tutaj nie mają w co włazić.

--
Alf/red/

Alf/red/ <alf_1901@ump.waw.pl> writes:

Teoretycznie jest możliwość zapłacenia (jeśli ktoś tego sobie nie
zablokował) przez "wejście" na jakiś link

Tak i nie, bo trzeba się naklikać, żeby zapłacić. Chociażby żeby
wybrać bank, bo chyba nie ma "uniwersalnego sposobu zapłaty w
internecie bez wskazania banku ani karty".

Miałem na myśli taki link, co to jest we współpracy z operatorem GSM,
i obciąża (względnie drobną kwotą) konto telefoniczne. Ale tam też chyba
trzeba przynajmniej raz kliknąć (nigdy nie używałem czegoś takiego).
--
Krzysztof Hałasa