Nowa pułapka na przedsiębiorców. Fałszywe kody QR prowadzą prosto do KSeF

Oszuści od lat wykorzystują kody QR do okradania swoich ofiar

Kody QR to niezwykle przydatne rozwiązanie, które pozwala nam na co dzień zaoszczędzić cenne minuty. Nic dziwnego, że wykorzystuje je także państwo. Przykładem może być chociażby sposób oznaczania wizualizacji faktur wystawionych w KSeF.

Każda taka wizualizacja, którą podatnicy wysyłają swoim kontrahentom, musi posiadać kod QR. Pozwala on na błyskawiczny dostęp do tej właściwej faktury bezpośrednio w systemie. Jest tylko jeden problem: cyberprzestępcy ostatnio zainteresowali się właśnie kodami QR powiązanymi z KSeF.

Zjawisko tzw. quishingu nie jest wcale nowe. Od kilku lat przestrzega przed nim między innymi policja oraz CERT. Schemat działania naciągaczy nie różni się zbytnio od innych popularnych oszustw.

SPRAWDŹ OFERTĘ

KSeF - mobilna pieczęć elektroniczna mSzafir

KIR

IDŹ DO STRONY

mSzafir - mobilny podpis kwalifikowany

KIR

IDŹ DO STRONY

Ofiara otrzymuje kod QR mający prowadzić do interesującej ją treści. Tak naprawdę trafia do spreparowanej przez nich witryny, która ma wyciągnąć od niej dane logowania do bankowości elektronicznej lub dane osobowe. Może również zainfekować jej urządzenie szkodliwym oprogramowaniem. To wciąż ta sama logika, co przy nowym oszustwie na klientów mBanku — tyle że punktem wejścia jest tu kod, a nie link.

Kod prowadzi na jakąś stronę do opłacenia faktury? To oszustwo

W przypadku quishingu wymierzonego w przedsiębiorców jest do pewnego stopnia podobnie. Możemy mieć do czynienia z dwoma podstawowymi typami ataku. Pierwszy jest niezbyt wysublimowany.

Dostajemy drogą mailową wizualizację faktury, którą rzekomo powinniśmy opłacić. Kod QR prowadzi do bramki płatniczej. Nadawcą jest jakaś wiarygodnie brzmiąca instytucja, tytuł wiadomości brzmi poważnie. Może to być „prośba o weryfikację faktury” z „Urzędu Skarbowego”.

Siłą rzeczy kody QR wygenerowane w KSeF powinny prowadzić bezpośrednio do systemu. Dość łatwo się więc zorientować, że coś tu nie gra. W grę wchodzi też spreparowana witryna, na której mamy się zalogować prawdziwymi danymi – po to, żeby przestępcy mogli je pozyskać. Przy okazji mogą również zainfekować nasze urządzenia złośliwym oprogramowaniem i przejąć nad nim kontrolę. O elementarne bezpieczeństwo przy korzystaniu z bankowości internetowej warto więc zadbać, zanim wpiszemy gdziekolwiek swoje dane.

Bardziej niebezpieczne są spreparowane wizualizacje, które rzeczywiście prowadzą do KSeF

Drugi schemat to po prostu podsuwanie fikcyjnych faktur, co jest procederem starszym niż KSeF. Przestępcy liczą na to, że firmowa księgowość zleci przelew, jeśli uzna dokument za wiarygodny.

Z ich punktu widzenia KSeF stanowi poważną niedogodność, bo to kolejny etap, na którym ofiara może się zorientować, że coś tu nie gra. Muszą więc liczyć, że uda się im uśpić jej czujność.

Ponownie otrzymuje ona plik .pdf ze spreparowaną wizualizacją faktury, która zawiera kod QR. Dokument sprawia wrażenie wiarygodnego. Skorzystanie z kodu prowadzi nas do KSeF, ale nie do autentycznej faktury. W skrajnie niekorzystnym scenariuszu możemy nawet dotrzeć do jakiegoś wpisu w systemie. Dopiero zalogowanie się ujawnia, że to wcale nie jest faktura wystawiona naszej firmie.

Tu liczy się ostrożność po stronie odbiorcy

Warto pamiętać, że to nie nabywca ponosi konsekwencje błędów po stronie wystawcy — temat dobrze porządkują skutki wystawienia faktury poza KSeF dla odbiorcy. Nie zwalnia nas to jednak z czujności, zwłaszcza gdy dokument dociera do nas mailem od nieznanego podmiotu.

Paranoja stała się zaletą przy weryfikacji dokumentów przesyłanych nam na maila

Prawdę mówiąc, kody QR potrafią być bardziej niebezpieczne od SMS-ów czy maili. Podstawową różnicą jest w końcu to, że w przypadku kodu nie jesteśmy w stanie już na pierwszy rzut oka samodzielnie odczytać adresu odnośnika, który zapisany w formie tekstowej mógłby wzbudzić naszą podejrzliwość.

Jak jednak zachować wzmożoną ostrożność, gdy otrzymujemy dziesiątki albo setki faktur od różnych kontrahentów? Pomogą nam na pewno podstawowe zasady ostrożności, takie jak na przykład sprawdzanie za każdym razem, czy kod QR rzeczywiście prowadzi na rządową stronę ksef.podatki.gov.pl. Ryzyko bywa też wewnętrzne — bo oszustwa VAT popełniane przez pracownika potrafią obciążyć całą firmę, jeśli nie sprawuje ona realnego nadzoru.

Podstawowe narzędzia w KSeF mogą nas uchronić przed pułapką zastawioną przez przestępców

Warto także pamiętać, że KSeF nie jest w stanie całkowicie wyeliminować fałszywych faktur. Cały czas pozostajemy odpowiedzialni za weryfikację dokumentu, który zamierzamy opłacić. System tego za nas niestety nie zrobi. My możemy co najwyżej zgłosić podejrzany dokument — a samo zgłaszanie fałszywych faktur w KSeF bywa już dowodem zachowania minimum czujności.

Na szczęście mamy narzędzia, które tę weryfikację nam ułatwią. Na przykład odbierając faktury bezpośrednio w KSeF albo w zintegrowanym z nim dobrym programie księgowym, mamy możliwość wyszukiwania wystawionych nam faktur w zakładce „Lista Faktur”.

KSeF jak najbardziej umożliwia nam filtrowanie dokumentów. Możemy odsiewać je między innymi po dacie wystawienia, kwocie albo danych kontrahenta. Jeżeli na liście nie ma faktury, do której rzekomo prowadzi kod QR, to najprawdopodobniej ktoś próbuje nas oszukać.

Obserwuj nas w Google Discover

Podobają Ci się nasze treści?

Google Discover

Obserwuj