„Naskenoval jsem QR kód podle pokynů. Jenže telefon nemám a peníze už taky ne,“ říká naštvaně Vendelín

Převzetí balíku z výdejního boxu je dneska normální. Jenže i taková běžná situace se může během minut změnit poměrně zvrtnout.

Zdroj fotografie: Pixabay

Vendelín si objednal nový telefon a pro doručení si zvolil výdejní box. Když mu přišla zpráva o doručení, vydal se zásilku vyzvednout. Jakmile zadal kód, box se otevřel, a spolu s novým telefonem našel i lístek s QR kódem, který ho navedl na stránku dopravce. Zadal platební údaje kvůli zprávě, že jde o spropitné pro kurýry, jak popsal redakci Mobify. Během několika hodin se jeho účet začal vyprazdňovat sérií neoprávněných transakcí.

Chtěl jen udělat dobrý skutek a podpořit řidiče dopravce

Osmačtyřicetiletý Vendelín nakupoval online pravidelně a výdejní boxy pro něj představovaly pohodlný způsob doručení. Nejraději měl jeden u supermarketu ve městě, který měl cestou z práce, a nechával si tam posílat prakticky všechny balíky. Jednou si objednal nový telefon, protože ten starý už měl ledacos za sebou. Objednávka byla potvrzená, doručení rychlé a notifikace z aplikace přišla přesně tak, jak čekal.

Bez váhání se proto po práci vydal k boxu u známého obchodu. Po příchodu zadal kód, dvířka se otevřela a uvnitř ležela malá zásilka a jeden malý lístek. Na něm byl vytištěný QR kód se zprávou. „Bylo tam napsáno, že v případě spokojenosti se službou mohu drobným poplatkem podpořit kurýry,“ popsal Vendelín. A jelikož chtěl dopravce podpořit, rozhodl se přispět.

QR kód ho přesměroval na stránku „dopravce“

Vendelín tedy vzal svůj stávající telefon a QR kód naskenoval. Otevřela se stránka, která vypadala jako oficiální portál dopravní společnosti – logo, barvy i rozložení byly téměř identické s tím, co znal. Stránka ho vyzvala k přihlášení a následně k úhradě symbolické částky kartou, údajně tedy spropitného pro kurýry. Bez váhání údaje vyplnil. Částka byla pouhých 50 Kč a celý proces působil normálně, téměř jako běžná součást doručení.

Krátce po potvrzení platby se stránka zavřela a systém oznámil, že zásilka byla vyzvednuta. Na první pohled vše skončilo dobře. Jenže o několik hodin později začala jeho banka zaznamenávat podezřelé transakce. Nejprve drobné platby, poté další nákupy, které už nedokázal zastavit. Až zpětně mu došlo, že údaje zadané na QR stránce neputovaly dopravci, ale nejspíše někam jinam.

Podvodné QR kódy jsou na mnoha místech

Podobné útoky se čím dál víc zaměřují na běžné situace, které lidé neřeší. V tomto případě šlo o kombinaci fyzického a digitálního podvodu, ale třeba E15 varuje i před podvodnými kódy na parkovacích automatech nebo v e-mailech. QR kód nebyl součástí doručení, někdo ho do boxu umístil dodatečně. Buď ho tam procpal skrz škvíru, anebo ho vložil při vyzvednutí vlastní zásilky.

Po jeho naskenování se uživatel dostane na falešnou stránku, která napodobuje oficiální systém dopravce. Cílem není vyvolat podezření, ale přimět člověka k rychlé akci, ideálně pod záminkou malého poplatku. QR kód neukazuje cílovou adresu předem, takže uživatel neví, kam ho odkaz vede. To otevírá prostor pro phishingové stránky, které vypadají téměř identicky jako originál, upozorňuje PČR.

Vendelínův příběh nám ukazuje, jak snadno se dá zneužít důvěru v moderní doručovací systémy. Stačí jeden podvržený QR kód a běžné vyzvednutí zásilky se může změnit v útok na bankovní účet.