Les estafes amb falsos QR arriben fins i tot a les cartes de restaurant

10 desembre

El Periódico. Els Mossos alerten d’un creixement d’aquest tipus de ciberdelictes, cada vegada més sofisticats, en què es roba informació personal i bancària. El 2024, la policia catalana ha registrat 68.416 denúncies, un 6,8% més que el 2023. La policia recomana als ciutadans seguir el protocol SANA: stop, analitza, no en facis cas i actua

Fa uns mesos van aparèixer en parets i façanes de l’Eixample de Barcelona cartells falsos d’una suposada companyia de subministraments en què s’afirmava haver “detectat problemes en la facturació dels comptadors” i que instaven els veïns a escanejar un codi QR “per actualitzar les seves dades”. Però aquest codi redirigia una web fraudulenta. És un dels exemples que cita l’Agència de Ciberseguretat de Catalunya sobre l’ús creixent dels codis QR per “robar informació personal i bancària”. “Els ciberdelinqüents col·loquen aquests QR en rètols o anuncis, sovint disfressats d’informació d’organismes oficials o com a ofertes temptadores”, adverteixen.

Els Mossos d’Esquadra alerten que aquest tipus d’estafes per QR estan augmentant i veuen amb preocupació que això va unit a més sofisticació en el tipus de frau, especialment a l’hora d’escanejar aquest codi. Els ciberdelinqüents aprofiten qualsevol suport per intentar enganyar el ciutadà: des de cartells amb presumptes avisos d’empreses subministradores a falses multes o ofertes de feina, oportunitats de viatge o suposats regals com massatges o aparells tecnològics.

Un dels enganys més sofisticats ha arribat a les cartes en format QR dels restaurants, que es van estendre durant la pandèmia per evitar contagis. Allà, els estafadors han arribat a substituir el QR del restaurant per un altre d’irregular. El client, quan l’escaneja per llegir la carta, sense saber-ho obre la porta que els ciberdelinqüents li robin dades personals, bancàries o que li usurpin la seva identitat.

David Baldoví, cap de l’Oficina de Relacions amb la Comunitat de la Regió Policial Virtual dels Mossos, detalla el mètode: a l’escanejar amb el mòbil el fals QR, aquest dirigeix la víctima a una adreça web fraudulenta, i al clicar, pensant que és la carta del restaurant, l’estafador accedeix a les seves dades. “És una de les ciberestafes que ha emergit amb més força. Utilitza un codi maliciós per capturar dades personals”, diu.

On més han detectat els Mossos aquests QR fraudulents que afecten bars i restaurants ha sigut en taules de terrasses ja que els criminals aprofiten que estan a l’aire lliure i poc vigilades. Una altra pràctica habitual és col·locar un QR fraudulent a sobre d’un QR oficial o legítim, amb tal finor que el pegat gairebé ni s’aprecia.

Anuncis de feina i viatges

No obstant, el més abundant són falsos anuncis de feina, viatges o ofertes de subministraments en què el QR per escanejar és maliciós. El mateix mètode s’utilitza en les falses multes que els estafadors deixen als cotxes: un paper que informa que l’única manera de saldar el pagament és escanejar aquest contingut, amb l’avís que si no pagues et podrien embargar.

Per no caure en aquests falsos QR, Baldoví recomana no anar amb pressa i examinar-los físicament abans de passar el telèfon. Si apareix amb signes d’estar enganxat a un altre “de mala manera” o el paper conté alguna falta d’ortografia això pot ser un indicatiu que és fals. També insisteix que davant qualsevol dubte s’ha de preguntar per verificar que el QR és correcte. A més, hi ha programes descarregables que permeten saber si una adreça web té indicadors que el seu contingut sigui maliciós.

Les ciberestafes a Catalunya han augmentat de manera constant en els últims anys. Entre gener i octubre del 2022 en van ser 53.421, mentre que en el mateix període del 2023 en van ser 64.036, cosa que suposa un increment de gairebé el 20%. En els 10 primers mesos d’aquest 2024 han sigut 68.416 denúncies, una pujada del 6,8% respecte al 2023, segons dades a què ha tingut accés aquest diari.

Baldoví remarca que els estafadors es valen de l’”enginyeria social” per aconseguir el seu objectiu. És a dir, manipulen les emocions bàsiques com la por, la sorpresa o el desig, que són universals, per provocar una reacció psicològica i física. “La reacció psicològica tendeix a anul·lar la capacitat cognitiva de la persona”, apunta l’agent dels Mossos, que posa com a exemple més clar la reacció al rebre un missatge que alerta que un fill o familiar està en perill o té un problema.

“Qui rep el missatge entra en estat d’alerta i perd la capacitat per pensar”. És el que els estafadors busquen; una reacció immediata atiada per les emocions. Baldoví posa dos exemples: “El cas del missatge que et diu que has guanyat un iPhone 16, però si no vens a buscar-lo en 24 hores el perdràs, o el d’una suposada multa a nom la Direcció General de Trànsit que pot pujar de quantitat si no es paga en 24 hores”.

Davant aquestes situacions, els Mossos recomanen aplicar “quatre passos que hem resumit amb l’acrònim de SANA: stop, analitza, no en facis cas i actua”. La policia insisteix que no es perdi el control quan arriba un missatge sospitós i analitzar de què es tracta. És a dir, si ens arriba un avís d’arribada d’un paquet, aturar-nos a pensar si vam fer aquesta compra, on i quan la vam fer i com el venedor oficial es comunica amb nosaltres. Així mateix, evitar reaccions impulsives. Si el missatge ens desperta dubtes, ignorar-lo. I finalment, alertar altres persones o les autoritats de l’intent d’estafa.

“Amb aquests passos es redueixen molt els riscos de ser estafats”, assegura Baldoví, que remarca la importància de tenir el doble factor d’autentificació per a transaccions bancàries o comerç electrònic com a “barrera física davant un atac o falsejament d’identitat”.

Malgrat aquestes prevencions, l’agent admet que hi ha ciberdelinqüents que poden aconseguir el teu número de verificació amb una trucada i fer-se passar pel banc, per la qual cosa insta a anar amb compte davant estafes que són cada vegada més complexes i elaborades.

Baldovi avisa: “El cibercrim no és una activitat delictiva comuna, com altres a les quals podem estar més acostumats. És una gran indústria que pot fins i tot subvencionar conflictes bèl·lics amb els diners que recapta d’estafes”. ¿Com combatre’l? “Fer que no sigui rendible”. I això passa perquè augmenti la conscienciació ciutadana per eludir aquests riscos.

Name	Domain	Purpose	Expiry	Type
CookieConsent	consent.cookiebot.com	Emmagatzema l'estat de consentiment de les cookies de l'usuari per al domini actual	1any	HTTP
elementor	gihostaleria.org	S'utilitza en context amb el tema de WordPress del lloc web. Les cookies permet al propietari del lloc web implementar o canviar el contingut del lloc web en temps real.	Persistent	HTML
PHPSESSID	online.segurinfo.es	Conserva l'estat de la sessió de l'usuari a través de les sol·licituds de pàgina.	session	HTTP
rc::a	www.google.com	Aquesta cookie s'utilitza per distingir entre humans i robots. Això és beneficiós per al lloc web, per tal de fer informes vàlids sobre l'ús del seu lloc web.	Persistent	HTML
rc::c	www.google.com	Aquesta cookie s'utilitza per distingir entre humans i robots.	Persistent	HTML

Name	Domain	Purpose	Expiry	Type
_ga	www.google-analytics.com	Registra un identificador únic que s'utilitza per generar dades estadístiques sobre com el visitant utilitza el lloc web.	2 anys	HTTP
_ga_#	www.googletagmanager.com	Utilitzat per Google Analytics per recopilar dades sobre el nombre de vegades que un usuari ha visitat el lloc web, així com les dates de la primera i la més recent visita.	2 anys	HTTP
_gat	www.google-analytics.com	Utilitzat per Google Analytics per accelerar la taxa de sol·licituds	1 dia	HTTP
_gid	www.google-analytics.com	Registra un identificador únic que s'utilitza per generar dades estadístiques sobre com el visitant utilitza el lloc web.	1 dia	HTTP
td	www.googletagmanager.com	Registra dades estadístiques sobre el comportament dels usuaris al lloc web. S'utilitza per a analítiques internes per l'operador del lloc web.	Persistent	Pixel

Blog

Les estafes amb falsos QR arriben fins i tot a les cartes de restaurant