11:57
27/8/2018

A taką nalepkę na bankomacie zauważył nasz Czytelnik:

Domena zgarnijiphone.ml wskazuje na adres IP: 91.237.52.174. Jak się domyślacie, szansa na wygranie iPhona jest nikła. Na stronie ładują się reklamy — ofiara musie je przeklikać i zaśmiecić swoją przeglądarkę ciasteczkami. Trzeba też oddać swoje dane osobowe.

Mechanizm wyłudzania danych jest więc taki sam jak w opisywanych przez nas wcześniej lewych konkursach (np. tych z biletami lotu w tle).

Nie skanuj kodów QR telefonem!

Na marginesie, warto przypomnieć aby nigdy nie skanować kodów QR: nie wiadomo gdzie prowadzą. Czasem jedno kliknięcie może “zabić” Wasz telefon lub komputer albo narazić Was na wysoki rachunek za telefon przez nabicie Wam usługi WAP Billing po stronie operatora GSM.

Aktualizacja 14.01.2019, 12:38
W końcówce roku Policja wraz z ZBP poinformowały o tym samym zagrożeniu. Ponieważ nam nie są znane kolejne przypadki niż opisany powyżej, to jeśli widzieliście takie nalepki — prosimy o kontakt.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

26 komentarzy

Dodaj komentarz
  1. Wiele czytników przed przeniesieniem na stronę pokazuje zapytanie czy przenieść na wskazany adres wyświetlając go.

    • Jak zeskanujesz aparatem w iOS to wyskakuje powiadomienie “otwórz [url] w Safari”. W przypadku bardziej złożonych kodów wyświetla się ich treść (z reguły znajduje jakiś ciąg cyfr i chce na niego zadzwonić), 3dtouch na powiadomieniu wyświetla pełną treść w większym okienku. Niestety 3dtouch na linku otworzy stronę w małym okienku, więc nie zobaczymy całej treści adresu.

  2. Zaraz… a czym skanować kody QR jak nie telefonem?! Ziemniakiem?

    Na prawdę chcecie powiedzieć, że CAŁA technologia QR jest do wyrzucenia, bo nikt z developerów nie pomyślał o minimalnych zabezpieczeniach? Czy o co chodzi?

    • Wiesz, czym innym jest zeskanowanie QR z OFICJALNEJ ulotki banku czy stacji benzynowej a czym innym skanowanie randomowego syfu…

    • Czyli rozumiem że w mailach też otwierasz wszystkie załączniki niezależnie od ich źródła?

    • a co to za problem zrobić ulotke, która wyglada jak ta z banku

    • @Maciej, tylko na iOS. Na Andku jest bezpieczniej ;)

    • Dobra apka do kodów QR powinna najpierw wyświetlić treść zeskanowanego kodu, a potem pozwolić użykownikowi wybrać co chce z nim zrobić – skopiować/otworzyć linka/zadzwonić.

  3. Ta porada jest jedną z mniej mądrych na Niebezpieczniku, chyba ktoś nie pomyślał przed publikacją. Po to są kody QR żeby je skanować telefonem. Czym innym z resztą? Robić fotki a potem analizować na komputerze w domu? Po prostu trzeba używać aplikacji, które nie otwierają URLa automatycznie, tylko zawsze go wyraźnie wyświetlają po zdekodowaniu i proszą o potwierdzenie otwarcia.

    • Nie prowadzi do malware? Zmarnowana szansa…

    • Grzesiu, ale w tym wypadku apka pokaze ci URL: zgarnijiphone.ml co sie zgadza z trescia naklejki, czyli dla 95% osob jest ok, a juz sam fakt, ze naklejka jest na bankomacie robia ja jeszcze bardziej wiarygodna.

  4. Co do skanowania QR telefonem to chyba dotyczy iPhonów. Najlepsza apka do barkodów na Androidze od ZXing – ma defaultowo wyłączoną opcję automatycznego uruchamiania rozczytanych kodów.

  5. To nie żadne wyłudzanie danych, tylko zwykły content locker zawierający oferty do wypełnienia z takich sieci jak np OGads. Po ich wypełnieniu przenosi cie na stronę z teoretyczna możliwością wygrania iPhona. Wypełniasz ankietę, albo podajesz maila, albo instalujesz jakąś gre na swoim telefonie, albo zapisujesz się do płatnej subskrypcji sms, za co właściciel wlepki dostaje parę dolców. Nic z tych ofert oprócz PIN submit nie kosztuje cię ani grosza, tylko stracony czas. Więc nie ma co to robic afery że ktoś chce zarobić w sieci CPA.

    • W świecie gdzie prawie nikt nie czyta regulaminów jest to po prostu nieetyczne i trzeba to piętnować

  6. Jakieś bzdury… Najprostsza aplikacja wyświetla treść kodu, a co dalej zrobimy to nasza sprawa.

    • Zobaczysz bit.ly – i jak myślisz, co zrobi większość?

    • @Piotr

      Chyba jest różnica pomiędzy kliknięciem w linka, a zasugerowaniem, że zeskanowanie QRkodu jest niebezpieczne dla telefonu.

    • @PK: przecież jest ogromna różnica pomiędzy odpaleniem się “samoistnie” linka z kodu QR czy załącznika z poczty,a kliknięciem go.To pierwsze to wada aplikacji. To drugie – wada użytkownika.

      Co do większości z bit.ly – zgoda. ale np:
      http://www.trueurl.net/

  7. Mimo wszystko najgorszym co może się stać jest próśba o pobranie pliku apk lub wpisanie własnych danych osobowych żadnej z tych rzeczy zdrowo myślący człowiek nie zrobi, a przcież chyba nie sugerujesz że ktoś tu się bedzię posługiwał jakimiś exploitami o ile takowe będą istnieć na przeglądarkę która raczej jest aktualizowana w przeciwieństwie do często przestarzałego androida.

  8. Jesteście oszustami tą nalepka promuje aplikację z googleplay po przez ogads nie ma nic niebezpiecznego wiem gdzie się pojawiły i na pewno nie na bankomatach oszuści tak jak i wp

  9. to jest fake news. proszę o zdjęcia kodów, numery premium na które są wysyłane owe smsy, numery spraw zgłoszonych do prokuratury, nazwy firm na które zarejestrowane są te numery i odpowiedź na pytanie czy w całej Polsce chociaż 2 osoby taki kod zeskanowały nie wspominając o tym ile osób wysłało sms premium.
    Niebezpiecznik upadł i już nie wstanie. O ile kiedykolwiek stał.

    • Przeciez masz debilu podana domene. Sam sobie sprawdz , co pod nia jest. Fake newsem to poki co sa jedynie twoje umiejetnosci czytania ze zrozumieniem.

  10. To jest na 99% fake news przygotowany w celu popełnienia przestępstwa wyrządzenia szkody majątkowej i oczernienia pewnej osoby najprawdopodobniej przez kgp i innych samozwańczych speców od bezpieczeństwa którym żyłka pękła z pewnego powodu :) :) :)

    Poproszę zdjęcia tych kodów i numery premium sms z datą rejestracji od operatora potwierdzone przez prokuratora i sąd, strona policji to jest tuba propagandowa.
    Nikt nie jest tak głupi aby jezdzic po jakimkolwiek miescie i rozlepiac kody qr na bankomatach jak połowa użytkowników nie wie co to jest a ta co wie to używa skanera który na 100% nie podejmie żadnej decyzji bez zgody użytkownika bo innych nie ma, success rate na 0.3 procent szacuje przy zalozeniu ze bankomat dziennie odwiedza 40 osob to ile mogą wyciągnąć z 50 bankomatów, i jakie jest przelozenie na kupno normalnego popupa, to jest ekonomicznie nieoplacalne, nikt nie zostanie skazany nikt za to nie zaplaci ale smród w necie zostanie.

  11. a kgp sieje ferment od kilku dni nie podajac żadnych dowodów.
    Jeśli mam racje to panowie zrobili sobie straszną krzywdę i skończy się to dla nich tragicznie.

  12. w bankomatach i nieopodal pozatym zazwyczaj są kamery i złapanie takiego pacjenta to nie powinien być żaden problem, to jest kit na 99%

    • Co jest kitem? Bo na pewno nie to co napisalismy w naszym artykule. Jeśli masz uwagi do tego jak te historie sprzed 3 m-cy przedstawia się gdzieś indziej to idz i tam ja komentuj.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.