Oszuści, parkingi i cyfrowy podstęp – brzmi jak kiepski kryminał, prawda? Niestety, to brutalna rzeczywistość, z jaką zetknęli się kierowcy, padając ofiarą wyrafinowanego wyłudzenia. Zamiast legalnie opłacić postój, nieświadomie przekazywali przestępcom klucze do swoich kont bankowych. Przyjrzyjmy się bliżej tej intrydze i sposobom, jak uniknąć wpadnięcia w pułapkę „parkingowego quishingu”.
Karygodna demaskacja: Dwa lata operacji na fałszywych kodach QR
Prokuratura Okręgowa w Krakowie zakończyła śledztwo dotyczące cynicznego oszustwa, które uderzało prosto w kieszenie kierowców. Dwaj mężczyźni, Bohdan Z. i Maxim H., stanęli przed sądem za systematyczne wyłudzanie pieniędzy za pomocą podrobionych kodów QR umieszczanych na parkometrach. Z doniesień wynika, że ta szemrana działalność trwała, a akt oskarżenia wobec nich skierowano pod koniec grudnia 2025 roku.
Mechanizm był prosty, a zarazem diabelsko skuteczny. Oszustwo polegało na podłożeniu fałszywych naklejek, które miały ten sam cel co oryginalne – ułatwić opłatę za postój. Jak donosi źródło, Bohdan Z. miał dopuścić się tego typu oszustw, przekierowując użytkowników na nieautentyczną stronę internetową, która tylko imitowała oficjalny system płatności strefy parkowania. To klasyczny phishing, ale podany w formie mobilnej – a ściślej, quishing.
Gdy kierowca, chcąc uniknąć mandatu, skanował podejrzany kod, stawał przed koniecznością podania danych niezbędnych do autoryzacji płatności, w tym przypadku pełnych danych do bankowości elektronicznej. Dane te pozwalały oszustowi na przejęcie kontroli, modyfikację autoryzacji transakcji i w efekcie – kradzież środków. Drugi z mężczyzn, Maxim H., usłyszał zarzut ułatwienia tego przestępstwa, głównie poprzez fizyczne rozklejanie tych pechowych nalepek na automatach.
Według ustaleń, ta przestępcza para zdołała okradzionie doprowadzić do niekorzystnego rozporządzenia mieniem dwie osoby, a jakby tego było mało, inni kierowcy szczęśliwie uniknęli finansowej katastrofy, ponieważ ich banki odrzuciły fałszywe próby autoryzacji.
Więcej niż parking: Dwukieczna kariera oszusta z OLX
Co ciekawe, działalność Bohdana Z. nie ograniczała się tylko do miejskiej infrastruktury parkingowej. Prokuratura postawiła mu dodatkowe zarzuty dotyczące oszustw na popularnym portalu ogłoszeniowym OLX, które miały miejsce od października 2022 do czerwca 2023 roku. Tu przestępca działał wespół z nieustalonymi jeszcze wspólnikami.
Pod lupę trafiły ogłoszenia o wynajmie mieszkań na terenie całego kraju. Oszust podszywał się pod inną osobę i naciągał naiwnych na opłaty rezerwacyjne na podstawie rzekomych umów przedwstępnych. Mechanizm był klasyczny: obietnica pierwszeństwa w podpisaniu faktycznej umowy najmu w zamian za szybką wpłatę. W sumie ponad 30 pokrzywdzonych straciło łącznie 17,7 tysiąca złotych. To pokazuje, że ten sam typ przestępcy często żeruje na różnych lukach w zaufaniu publicznym.
Kiedy kod QR staje się cyfrowym bagnem: Mechanizm quishingu
Sytuacja krakowska nie była odosobniona. Już w lipcu 2023 roku krakowski magistrat i zespół CSIRT działający przy NASK wydali stanowcze ostrzeżenia. Kiedy parkujesz w nieznanym miejscu, zawsze musisz mieć podwójną czujność.
Specjaliści wyjaśnili istotę problemu, który w nomenklaturze cyberbezpieczeństwa nazywany jest quishingiem. To nic innego jak socjotechniczna sztuczka, w której oszuści wykorzystują kody QR. Po zeskanowaniu takiego kodu, użytkownik jest brutalnie przenoszony na spreparowaną stronę. Ta strona, idealnie imitująca oficjalny interfejs opłaty parkingowej, żąda podania wszystkich danych karty płatniczej. Gdy nieświadomy kierowca to zrobi, dane wpadają wprost w ręce cyberprzestępców, którzy natychmiast zaczynają operować kartą w sieci. To cyfrowy odpowiednik zabrania portfela spod nosa.
Co gorsza, jak zauważono, zagrożenie to nie jest wyłącznie polską domeną. Podobne ataki z fałszywymi naklejkami na automatach odnotowywała na przykład niemiecka policja. Ba! Uważajcie, kierowcy samochodów elektrycznych – cyberprzestępcy są sprytni i potrafią umieszczać takie fałszywe kody także na ładowarkach.
Jak nie dać się złapać? Twoja osobista linia obrony przed quishingiem
Skoro wiemy, jak to działa, czas na twardą naukę przetrwania w cyfrowej dżungli. NASK wydaje proste, ale fundamentalne rady. Klucz leży w weryfikacji. Zawsze sprawdzaj autentyczność kodu QR. Poprawny, oficjalny kod powinien znajdować się na oryginalnej tabliczce informacyjnej parkometru. Jeśli widzisz naklejkę na naklejce, papier, który wygląda podejrzanie, albo kod jest uszkodzony lub umieszczony w niepasującym miejscu – natychmiast odłóż telefon i zignoruj go.
Najbezpieczniejszą metodą, która niemal całkowicie eliminuje ryzyko quishingu związanego z parkowaniem, jest korzystanie z oficjalnych aplikacji mobilnych operatorów parkingowych. Upewnij się, że aplikacja pochodzi z oficjalnego sklepu – App Store lub Google Play Store – i została wcześniej zainstalowana na Twoim urządzeniu. Takie aplikacje oferują bezpieczne mechanizmy płatności, często wykorzystując tokenizację lub Twoje konta użytkownika, omijając konieczność wprowadzania danych karty na podejrzanej stronie.
Jeżeli jednak już musisz skorzystać z kodu QR, upewnij się, że skanujesz kod wyświetlony bezpośrednio na cyfrowym ekranie parkometru po zainicjowaniu transakcji lub specjalny kod na stacji ładowania, a nie dodaną później naklejkę. Warto też pamiętać, że jeśli coś wydaje się zbyt łatwe lub zbyt podejrzane przy opłacie, najlepiej zgłosić swoje obawy operatorowi strefy parkowania. Nie daj się złapać na pośpiech i stres związany z poszukiwaniem miejsca parkingowego.
