Quishing - co to jest? Definicja pojęcia KSeF
Co to jest quishing?
Quishing (od ang. QR + phishing) to rodzaj cyberataku polegający na wykorzystaniu kodów QR do przekierowywania użytkowników na fałszywe strony internetowe lub instalowania złośliwego oprogramowania. Jest to połączenie techniki phishing z kodami QR.
W kontekście Krajowego Systemu e-Faktur (KSeF), quishing może być wykorzystywany przez cyberprzestępców do oszukiwania użytkowników poprzez umieszczanie fałszywych kodów QR w fakturach. Po zeskanowaniu takiego kodu użytkownik może zostać przekierowany na fałszywą stronę, która wygląda jak oficjalna strona KSeF lub system płatności, i zostać poproszony o podanie wrażliwych danych lub wykonanie płatności.
CERT Polska (Computer Emergency Response Team Polska) ostrzega przed tego typu zagrożeniami, zwracając uwagę na konieczność ostrożności przy skanowaniu nieznanych kodów QR. Kody weryfikujące QR dedykowane dla KSeF nie będą prowadziły do płatności za fakturę - jeśli po zeskanowaniu kodu QR zobaczysz komunikat, aby opłacić fakturę, powinieneś zachować czujność.
Jak działa quishing?
Mechanizm działania quishing: 1) Cyberprzestępca tworzy fałszywy kod QR, który wygląda jak prawdziwy kod z faktury KSeF, 2) Kod QR przekierowuje użytkownika na fałszywą stronę internetową (np. wyglądającą jak oficjalna strona KSeF lub system płatności), 3) Fałszywa strona prosi użytkownika o podanie wrażliwych danych (np. dane logowania, numery kart płatniczych) lub wykonanie płatności, 4) Cyberprzestępca przejmuje dane lub środki finansowe. Quishing jest szczególnie niebezpieczny, ponieważ kody QR są trudne do zweryfikowania przed zeskanowaniem - użytkownik nie widzi, dokąd prowadzi link.
Jak chronić się przed quishingiem w KSeF?
Aby chronić się przed quishingiem w kontekście KSeF: 1) Skanuj tylko kody QR pochodzące z zaufanych źródeł - zweryfikuj autentyczność faktury przed zeskanowaniem kodu, 2) Zwracaj uwagę na autentyczność stron, na które jesteś przekierowywany - sprawdź adres URL i certyfikat SSL, 3) Pamiętaj, że kody weryfikujące QR dedykowane dla KSeF nie będą prowadziły do płatności za fakturę - jeśli po zeskanowaniu zobaczysz komunikat, aby opłacić fakturę, zachowaj czujność, 4) Sprawdzaj autentyczność otrzymywanych faktur, zwłaszcza tych zawierających kody QR, 5) Poprawnie wygenerowany kod QR ma przekierować użytkownika do systemu, do źródła, czyli do faktury w KSeF, 6) Nie skanuj kodów QR z nieznanych źródeł lub podejrzanych faktur.
Quishing vs phishing
Quishing: wykorzystuje kody QR do przekierowywania użytkowników, trudniejszy do wykrycia (kod QR nie pokazuje adresu URL przed zeskanowaniem), popularny w kontekście faktur elektronicznych i płatności mobilnych. Phishing: tradycyjnie wykorzystuje e-maile, SMS-y lub wiadomości z linkami, użytkownik może zobaczyć adres URL przed kliknięciem, bardziej znana technika. Oba typy ataków mają ten sam cel - wyłudzenie wrażliwych danych lub środków finansowych od użytkownika.
FAQ
Czy kody QR w fakturach KSeF są bezpieczne?
Kody QR w fakturach KSeF mogą stać się narzędziem dla cyberprzestępców stosujących quishing. Skanuj tylko kody pochodzące z zaufanych źródeł i zweryfikuj autentyczność faktury. Kody weryfikujące QR dedykowane dla KSeF nie będą prowadziły do płatności za fakturę - jeśli po zeskanowaniu zobaczysz komunikat, aby opłacić fakturę, zachowaj czujność.
Jak rozpoznać fałszywy kod QR?
Rozpoznanie fałszywego kodu QR jest trudne, ponieważ nie możesz zobaczyć adresu URL przed zeskanowaniem. Najlepszą ochroną jest: skanowanie tylko kodów z zaufanych źródeł, weryfikacja autentyczności faktury przed zeskanowaniem, sprawdzenie adresu URL po przekierowaniu (powinien prowadzić do oficjalnej strony KSeF), zachowanie czujności, jeśli kod prowadzi do płatności (kody KSeF nie powinny prowadzić do płatności).
Co zrobić, jeśli zeskanowałem podejrzany kod QR?
Jeśli zeskanowałeś podejrzany kod QR: 1) Nie podawaj żadnych danych na stronie, na którą zostałeś przekierowany, 2) Zamknij stronę i nie wykonuj żadnych działań, 3) Sprawdź autentyczność faktury w systemie KSeF (zaloguj się bezpośrednio do KSeF), 4) Jeśli podałeś wrażliwe dane, zmień hasła i skontaktuj się z bankiem lub odpowiednimi służbami, 5) Zgłoś incydent do CERT Polska lub odpowiednich służb.
Czy KSeF wysyła kody QR prowadzące do płatności?
Nie, kody weryfikujące QR dedykowane dla KSeF nie będą prowadziły do płatności za fakturę. Jeśli po zeskanowaniu kodu QR z faktury KSeF zobaczysz komunikat, aby opłacić fakturę, powinieneś zachować czujność - może to być próba quishingu. Poprawnie wygenerowany kod QR ma przekierować użytkownika do systemu, do źródła, czyli do faktury w KSeF.