Tako rzecze BOŚ:

>
04.01.2019
Temat: Komunikat w sprawie skanowania przez użytkowników smartfonów
kodów QR z naklejek bezprawnie umieszczanych na bankomatach.
Treść:

Departament Bezpieczeństwa Banku ostrzega użytkowników smartfonów przed
skanowaniem kodów QR z naklejek, które są w ostatnim czasie bezprawnie
umieszczane na bankomatach. Naklejki z kodami QR zamieszczane są bez
zgody i wiedzy ich właścicieli tj. banków oraz sieci bankomatowych i nie
są w żaden sposób powiązane z jakimikolwiek usługami bankowymi.

Jest to celowe działanie przestępców na szkodę użytkowników bankomatów.

Mechanizm działania

Użytkownicy bankomatów są w ten sposób zachęcani np. do udziału w
loteriach z nagrodami. W tym przypadku, po zeskanowaniu kodu QR z
naklejki następuje przekierowanie do usługi SMS PREMIUM, co z kolei
powoduje naliczenie wysokich opłat za jej włączenie.

Kody QR mogą zarówno inicjować wyłudzenie, jak również zostać
wykorzystane do podstawiania oszukańczych platform, których celem jest
wyłudzenie loginów i haseł do serwisów pocztowych, mediów
społecznościowych, bankowości elektronicznej, usług publicznych, jak
również do zainfekowania smartfonów szkodliwym oprogramowaniem.

Departament Bezpieczeństwa BOŚ zaleca ostrożność w skanowaniu kodów QR,
szczególnie tych niewiadomego pochodzenia, udostępnianych w miejscach
publicznych.


Klienci BOŚ S.A., którzy staną się ofiarą przestępstwa, powinni
niezwłocznie zawiadomić Bank i/lub przedsiębiorcę telekomunikacyjnego
oraz złożyć zawiadomienie o podejrzeniu popełnienia przestępstwa w
jednostce Policji.


Zespół BOŚBanku
>

I jak to piszą na grupach kolejarskich: Zainteresowanych powiadomić! ;)

K.

--
http://www.krystek.art.pl/

do góry

W dniu 09.01.2019 o 00:45, Krystek pisze:
> I jak to piszą na grupach kolejarskich: Zainteresowanych powiadomić! ;)

Dzięki. Masz rację, przypominania nigdy za mało.
28.12.2018
https://tvn24bis.pl/z-kraju,74/policja-ostrzega-prze
d-kodami-qr-umieszczanymi-na-bankomatach,895585.html
27.12.2018 (20:22)
http://next.gazeta.pl/next/7,151003,24313505,bankowc
y-i-policja-ostrzegaja-przed-skanowaniem-kodow-qr-z-
naklejek.html
27.12.2018 (godzina nieznana)
http://www.policja.pl/pol/aktualnosci/167879,Ostrzez
enie-przed-QR-kodami-umieszczanymi-na-bankomatach.ht
ml
27.08.2018 https://niebezpiecznik.pl/post/zlosliwa-nalepka-na-b
ankomacie/


--
Alf/red/

do góry

Alf/red/ <a...@u...waw.pl> writes:

> 27.08.2018 https://niebezpiecznik.pl/post/zlosliwa-nalepka-na-b
ankomacie/

A jak ktoś umieści taki QR code na, za przeproszeniem, płocie (por.
kawał o napisie na płocie), to też "skanują" i płacą za jakiegoś SMSa
premium? I to jeszcze może automatycznie?

To jakaś masakra.
--
Krzysztof Hałasa

do góry

Dnia Fri, 11 Jan 2019 19:34:43 +0100, Krzysztof Halasa napisał(a):
> Alf/red/ <a...@u...waw.pl> writes:
>> 27.08.2018 https://niebezpiecznik.pl/post/zlosliwa-nalepka-na-b
ankomacie/
>
> A jak ktoś umieści taki QR code na, za przeproszeniem, płocie (por.
> kawał o napisie na płocie), to też "skanują" i płacą za jakiegoś SMSa
> premium? I to jeszcze może automatycznie?

Automatycznie to w Androidzie 9 :-)

Kodu z plotu moze nie zeskanujesz, dobrze opisany kod z bankomatu -
tak.
Np "w razie problemow zeskanuj kod aby polaczyc sie z Infolinia".
Albo "bezplatna aplkacja do wyplaty pieniedzy".

> To jakaś masakra.

Zabezpieczenia w Androidzie ?
Istotnie masakra :-)

J.

do góry

W dniu 09.01.2019 o 00:45, Krystek pisze:
> Tako rzecze BOŚ:
>
> >
> 04.01.2019
> Temat:     Komunikat w sprawie skanowania przez użytkowników smartfonów
> kodów QR z naklejek bezprawnie umieszczanych na bankomatach.

Oops
https://zaufanatrzeciastrona.pl/post/uwaga-na-zlosli
we-kody-qr-na-bankomatach-ktorych-nikt-nie-widzial/


--
Alf/red/

do góry

Alf/red/ <a...@u...waw.pl> writes:

>> Temat:     Komunikat w sprawie skanowania przez użytkowników
>> smartfonów kodów QR z naklejek bezprawnie umieszczanych na
>> bankomatach.
>
> Oops
> https://zaufanatrzeciastrona.pl/post/uwaga-na-zlosli
we-kody-qr-na-bankomatach-ktorych-nikt-nie-widzial/

Teoretycznie jest możliwość zapłacenia (jeśli ktoś tego sobie nie
zablokował) przez "wejście" na jakiś link, tyle że przynajmniej
teoretycznie to powinno być bezpieczne - tzn. wcześniej powinny
wyświetlać się dokładne informacje, zakładam że taka "strona" powinna
sprawdzać, czy na link kliknięto na niej, czas życia linku powinien być
krótki itd. I, zdaje się, wiadomo wtedy komu zapłacono, strona podlega
audytowi operatora, jest możliwość reklamacji itd.
--
Krzysztof Hałasa

do góry

W dniu 17.01.2019 o 16:22, Krzysztof Halasa pisze:
> Teoretycznie jest możliwość zapłacenia (jeśli ktoś tego sobie nie
> zablokował) przez "wejście" na jakiś link

Tak i nie, bo trzeba się naklikać, żeby zapłacić. Chociażby żeby wybrać
bank, bo chyba nie ma "uniwersalnego sposobu zapłaty w internecie bez
wskazania banku ani karty". Już prędzej jakieś zarażenie telefonu. Ale
ludzie są ... nierozsądni. I włażą, i klikają.
No ale tutaj nie mają w co włazić.

--
Alf/red/

do góry

Alf/red/ <a...@u...waw.pl> writes:

>> Teoretycznie jest możliwość zapłacenia (jeśli ktoś tego sobie nie
>> zablokował) przez "wejście" na jakiś link
>
> Tak i nie, bo trzeba się naklikać, żeby zapłacić. Chociażby żeby
> wybrać bank, bo chyba nie ma "uniwersalnego sposobu zapłaty w
> internecie bez wskazania banku ani karty".

Miałem na myśli taki link, co to jest we współpracy z operatorem GSM,
i obciąża (względnie drobną kwotą) konto telefoniczne. Ale tam też chyba
trzeba przynajmniej raz kliknąć (nigdy nie używałem czegoś takiego).
--
Krzysztof Hałasa

do góry

Date: Fri, 11 Jan 2019 20:26:14
From: J.F.
> Dnia Fri, 11 Jan 2019 19:34:43 +0100, Krzysztof Halasa napisał(a):
>> Alf/red/ <a...@u...waw.pl> writes:
>>> 27.08.2018 https://niebezpiecznik.pl/post/zlosliwa-nalepka-na-b
ankomacie/
>>
>> A jak ktoś umieści taki QR code na, za przeproszeniem, płocie (por.
>> kawał o napisie na płocie), to też "skanują" i płacą za jakiegoś SMSa
>> premium? I to jeszcze może automatycznie?

> Automatycznie to w Androidzie 9 :-)

Do skanowania kodu trzeba użyć jakiejś aplikacji. Jeśli ta aplikacja
robi coś automatycznie po odczytaniu zawartości kodu, no to faktycznie
masakra, ale nikt rozsądny nie powinien takiej aplikacji używać.

Pozdrawiam,
Dominik

--
Fedora https://getfedora.org | RPM Fusion http://rpmfusion.org
There should be a science of discontent. People need hard times and
oppression to develop psychic muscles.
-- from "Collected Sayings of Muad'Dib" by the Princess Irulan

do góry

Dominik 'Rathann' Mierzejewski <_...@g...net> writes:

> Do skanowania kodu trzeba użyć jakiejś aplikacji. Jeśli ta aplikacja
> robi coś automatycznie po odczytaniu zawartości kodu, no to faktycznie
> masakra, ale nikt rozsądny nie powinien takiej aplikacji używać.

No ale co może zrobić automatycznie? Może spróbować otworzyć stronę
z takim URLem. Od tego nic złego nie powinno się automatycznie stać.

Jeśli dobrze zrozumiałem, te całe internetowe "premium SMS" tak nie
działają, musi być jeszcze strona pośrednia wyświetlająca odpowiednie
informacje (generowana przez operatora?) i dopiero tam można zatwierdzić
transakcję. Nie da się (jak rozumiem) zrobić linku
"https://xxx.yyy... & suma=100 zł & sprzedawca=zły_hacker", bo strona
zatwierdzająca płatność sprawdza, czy odpowiada jej przed chwilą
otworzona strona z informacjami.

To działa inaczej?
--
Krzysztof Hałasa

do góry