[nowość] Poznaj bezpieczeństwo Windows. Cześć pierwsza: usługi systemowe. Nowe, bezpłatne szkolenie od sekuraka!

Wrocław. Ktoś rozkleja plakaty z takim kodem QR… „zbiór informacji o obywatelach Ukrainy”. Link prowadzi do Proton Drive…

20 stycznia 2023, 14:38 | Aktualności | komentarzy 20
Tagi: ,

Jeden z czytelników przesłał nam dzisiaj rano takie zdjęcie:

Lepiej nie próbujcie wchodzić na ten link.

Z ciekawostek – tutaj lokalizacja tego miejsca na Google Street View:

Gdzie prowadzi QR kod? Do adresu: drive.proton[.]me (usługa storage cloudowego od Protona). Tam z kolei plik .doc: oświadczenie_o_cudzoziemcach_przebywających_w_rp.doc wyglądający mniej więcej tak:

Czy plik jest złośliwy? Wygląda na to, że nie. Rozmawialiśmy również z CERT Polska, który zaznaczył że przynajmniej wstępna analiza nie wskazuje złośliwości pliku (chociaż wiadomo, absolutnej gwarancji nie można dać).

Nota bene, co dopiero pisała o tym pliku Zaufana Trzecia Strona, ale podając e-maile jako źródło dostarczenia. Przy okazji – treść „naszego” pliku i wersji „z Zaufanej” jest w zasadzie taka sama, różnią się tylko drobne detale.

Wracając do QR kodów, dzisiaj o problemie informował również Urząd do Spraw Cudzoziemców, jednak na Twitterze prezentują okaz nieco inny niż nasz:

Dziwne jest też to, że w zasadzie w całej historii nie pojawia się sugestia gdzie ewentualnie taki wypełniony dokument wysłać. Jest to więc zapewne próba dezinformacji / szerzenia zamieszania.

Jeśli macie inne pomysły w temacie o co tutaj może chodzić – dajcie znać w komentarzu. A jeśli zobaczyliście taki ~plakat w swoim mieście, napiszcie do nas.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Kiryl

    Hehe, jestem jednym z takich cudzoziemców i już od długiego czasu dzwonią do mnie regularnie scammerzy. Nie wiem skąd mają moje imię i nazwisko, przedstawiają się bankiem PKO (w którym nigdy nie miałem konta) i mówią (w języku wyłącznie rosyjskim) że „była złośliwa operacja na koncie, że może ktoś go przejął i że trzeba potwierdzenie kto tera to konto kontroluję”. Jak to zrobić? Jest bardzo prosty sposób „it dział Banku wbił mi w appke banku we wkładcę BLIK specjalny kod, który muszę powiedzieć i dalej nacisnąć potwierdzam”.

    Odpowiedz
    • Zenon

      Do mnie dzwonią ci sami, ale mówili też po ukraiński i nie mówili na ukraiński manier. Ich rosyjski to raczej z mocnym ukraińskim akcentem.

      Odpowiedz
    • SuperTux

      Gratuluję pięknej Polszczyzny! Gdybyś nie powiedział że jesteś cudzoziemcem, to bym się w życiu nie zorientował (chyba że w normalnej rozmowie, bo akcent zawsze zdradzi).

      A co do meritum, no to straszne jest. Ja ze swojej strony pomagam w ten sposób że jeśli znajduję tego typu plakaty to zrywam, drę na strzępy i wyrzucam (oczywiście po uprzednim sprawdzeniu czy to nie jest prawdziwa oferta pomocy, żeby nie szkodzić).

      Odpowiedz
  2. Maks

    Wczoraj widziałem jak rozwieszali te ulotki jednak nie zwróciłem zbytnio na to uwagi jednak miałem wrażenie, że porozumiewały te osoby w języku ukraińskim

    Odpowiedz
    • Helmut

      Jeśli nie zwracałeś zbytnio uwagi to jest szansa, że mogli to być rosjanie mówiący tak, by otoczenie miało wrażenie, że to ukraiński (bez wsłuchiwania się, łatwo się pomylić).
      Inna sprawa, że ta akcja świetnie się wpisuje w doktrynę działania służb federacji rosyjskiej.

      Odpowiedz
      • OUN/UPA

        To nie byli Rosjanie tylko od Bandery

        Odpowiedz
        • asdsad

          A Ty pewnie od Mussoliniego?

          Odpowiedz
    • Pies

      Maks miał wrażenie więc też sieje dezinfo. A odróżniłby rosyjski od ukraińskiego?.
      Z pewnością to trolowa robota.

      Odpowiedz
  3. Łukasz

    a to nie jest kwestia w przekierowaniu?

    zawsze taka sama odpowiedź http jest?

    może filtruje pytających? (rzuciłem tylko „okiem” z webowego http header chceck’a, dawno nie używałem do niczego więcej niż sprawdzanie „301”, może „czeka” na jakiś „refresh” cache… na. svg w faviconie :P ) :)

    Odpowiedz
    • Piotr

      Dokładnie.. Nie przywiązywałbym wagi tutaj do samego pliku, ale właśnie do łańcucha żądań HTTP :)

      Odpowiedz
  4. Michał

    Cześć,
    Kraków, 1 sztuka – ul. Królewska ( słup przy Rossmann), 3 sztuki – Głowackiego (słupy przy Uniwersytecie Pedagogicznym). Już zerwane. Wyglądały jakby późno w nocy / rano ktoś nakleił

    Odpowiedz
  5. djDziadek

    Przygotowanie do czegoś większego?
    Zbieranie IP, ID sprzętu?
    Omijam qr szerokim łukiem.

    Odpowiedz
    • SuperTux

      Albo zwyczajne wyłudzenie danych osobowych. PDF-y mają skrypty (tak samo jak i dokumenty MS Word) więc możliwe że jeśli ktoś próbuje wypełnić ten dokument to wszystko jest wysyłane na żywo do przestępców.

      Odpowiedz
  6. Cincin

    Czy nie jest to tzw. „czujka”?
    Skąd się właściwie mogła wziąć?
    Kto stoi za rozwieszanie ?
    Czy osoby rozwieszające liczyły na rozgłos i zainteresowanie specjalistów?

    W Krakowie to nie jest pierwsza tego typu rozwieszona informacja (zaginięcie osoby, kociaka itp. czasem oczywisty cel rozwieszenia, czasem wręcz dziwna sytuacja…).
    Mam nadzieję że cała ta sprawą dąży do czegoś dobrego… Jednak mam więcej wątpliwość…

    Odpowiedz
  7. Adam

    Zbierają dane w potem właśnie dzwonią i próbują wkręcać ludzi i wyłudzać kasę. To Ruskie trole – jak zwykle.

    Odpowiedz
  8. Marek

    Sam URL jest hasłem do archiwum. Hasłem które wszyscy dookoła uwiecznili w internecie za free

    Odpowiedz
  9. J

    Czy nie powinno się na zdjęciu w artykule unieczytelnić niebezpieczny kod QR?

    Odpowiedz
  10. Koko

    Można było przeskanować to malwarebytem albo virustotal i byście wiedzieli czy nie jest to plik złośliwy zawsze coś

    Odpowiedz
  11. T

    Czy tylko ja mam wrażenie, że większość komentarzy pod tym wpisem to albo trolle albo jakieś biedniejsze AI pisze?

    Odpowiedz
  12. Tym
    Odpowiedz

Odpowiedz