FBI Tech Tuesday: Building a Digital Defense Against QR Code Scams

Source: Federal Bureau of Investigation FBI Crime News (b)

Press release available in both English and Spanish.

EL PASO, TX— Let’s start with the basics. “QR” stands for “quick response.” The QR code is a square image that you can scan with your phone—usually by just pointing your camera at it. The image itself is filled with data that can do lots of helpful things, such as send you to a particular website or payment portal.

QR codes have become much more common. They allow restaurants to use virtual menus and vendors to accept cashless payments easily. You may find codes physically pasted about or virtually embedded into ads, emails, or online. They are easy to create and, unfortunately, easy to hack.

In 2022, the FBI started receiving reports of people who were falling victim to QR code scams, including some who lost money. One area of particular concern—frauds involving cryptocurrency. Crypto transactions are often made through QR codes associated with crypto accounts… making these transactions easy marks.

The QR code scam has evolved much like all other scams. Now scammers are using QR codes and gift cards together. Scammers may call and say they’re going to send a QR code to your phone, so you can receive a free $100 gift card. In reality, the QR code may take you to a malicious website.

If you happen to scan a scammer’s bad code, you could end up giving them access to your device. They can access your contacts, download malware, or send you to a fake payment portal. Once there, you can inadvertently give them access to your banking and credit card accounts. If you make a payment through a bad QR code, it’s difficult if not impossible to get those funds back.

Here’s how to protect yourself:

  • Do not scan a randomly found QR code.
  • Be suspicious if, after scanning a QR code, the site asks for a password or login info.
  • Do not scan QR codes received in emails or text messages unless you know they are legitimate. Call the sender to confirm.
  • Some scammers are physically pasting bogus codes over legitimate ones. If it looks as though a code has been tampered with, don’t use it. Same thing with legitimate ads you pick up or get in the mail.

Finally, consider using antivirus software that offers QR readers with added security that can check the safety of a code before you open the link. If you are the victim of any other online fraud, you should report the incident to the FBI’s Internet Crime Complaint Center at www.ic3.gov or call the FBI El Paso Field Office at (915) 832-5000.

https://www.ic3.gov/Media/Y2022/PSA220118


EL PASO, TX— Comencemos con lo básico. “QR” significa “respuesta rápida”. El código QR es una imagen cuadrada que puede escanear con su teléfono, usualmente apuntando su cámara hacia ella. La imagen en sí está llena de datos que pueden hacer muchas cosas útiles, como enviarlo a un sitio web en particular o portal de pago.

Los códigos QR se han vuelto mucho más comunes. Permiten a los restaurantes usar menús virtuales y a los vendedores aceptar pagos sin efectivo fácilmente. Puede encontrar códigos pegados físicamente o virtualmente incrustados en anuncios, correos electrónicos o en línea. Son fáciles de crear y, desafortunadamente, fáciles de hackear.

En 2022, el FBI comenzó a recibir informes de personas que fueron víctimas de estafas de códigos QR, incluidas algunas que perdieron dinero. Un área de especial preocupación: los fraudes que involucran criptomonedas. Las transacciones criptográficas a menudo se realizan a través de códigos QR asociados con cuentas criptográficas … haciendo que estas transacciones sean marcas fáciles.

La estafa del código QR ha evolucionado mucho como todas las demás estafas. Ahora los estafadores están usando códigos QR y tarjetas de regalo juntos. Los estafadores pueden llamar y decir que van a enviar un código QR a su teléfono, para que pueda recibir una tarjeta de regalo gratuita de $100. En realidad, el código QR puede llevarlo a un sitio web malicioso.

Si escanea el código incorrecto de un estafador, podría terminar dándole acceso a su dispositivo. Pueden acceder a sus contactos, descargar malware o enviarlo a un portal de pago falso. Una vez allí, puede darles acceso inadvertidamente a sus cuentas bancarias y de tarjetas de crédito. Si realiza un pago a través de un código QR incorrecto, es difícil, si no imposible, recuperar esos fondos.

He aquí como protegerse:

  • No escanee un código QR encontrado al azar.
  • Sea sospechoso si, después de escanear un código QR, el sitio le pide una contraseña o información de inicio de sesión.
  • No escanee los códigos QR recibidos en correos electrónicos o mensajes de texto a menos que sepa que son legítimos. Llame al remitente para confirmar.
  • Algunos estafadores están pegando físicamente códigos falsos sobre los legítimos. Si parece que un código ha sido manipulado, no lo utilice. Lo mismo ocurre con los anuncios legítimos que recibes o recibes por correo.

Por último, considere usar un software antivirus que ofrezca lectores QR con seguridad adicional que pueda verificar la seguridad de un código antes de abrir el enlace. Si usted es víctima de cualquier otro fraude en línea, debe reportar el incidente al Centro de Quejas de Delitos en Internet del FBI en www.ic3.gov o llamar a la Oficina de Campo del FBI en El Paso al (915) 832-5000. https://www.ic3.gov/Media/Y2022/PSA220118