החבילות המסתוריות מגיעות לבתים ללא כל מידע על השולח, דבר שמעורר סקרנות אצל המקבלים ומעודד אותם לסרוק את קוד ה-QR המצורף כדי לגלות מי שלח את החבילה ומה היא מכילה. אולם, ברגע שהקורבן סורק את הקוד בטלפון החכם שלו, הוא נחשף לסכנות רבות.
לפי דברי ה-FBI, סריקת הקוד מפנה את המשתמש לאתרים זדוניים שמבקשים ממנו למסור מידע אישי ופיננסי רגיש, כגון פרטי כרטיס אשראי, מספרי ביטוח לאומי וסיסמאות. במקרים חמורים יותר, הסריקה גורמת להורדה אוטומטית של תוכנות זדוניות (malware) לטלפון, שיכולות לגנוב מידע נוסף, לעקוב אחר פעילות המשתמש או אפילו להשתלט על המכשיר.
לפי דברי ה-FBI, סריקת הקוד מפנה את המשתמש לאתרים זדוניים שמבקשים ממנו למסור מידע אישי ופיננסי רגיש, כגון פרטי כרטיס אשראי, מספרי ביטוח לאומי וסיסמאות. במקרים חמורים יותר, הסריקה גורמת להורדה אוטומטית של תוכנות זדוניות (malware) לטלפון, שיכולות לגנוב מידע נוסף, לעקוב אחר פעילות המשתמש או אפילו להשתלט על המכשיר
ההונאה החדשה מהווה וריאציה מתוחכמת של מה שמכונה "הונאת ברשינג" (brushing scam), שבה זוכה לפופולריות רבה בקרב פושעי אינטרנט. בהונאת הברשינג המסורתית, מוכרים באתרי מסחר אלקטרוני שולחים סחורה לאנשים שלא הזמינו אותה, ולאחר מכן משתמשים במידע של המקבלים כדי לפרסם ביקורות חיוביות מזויפות על המוצרים שלהם.
במקרה הנוכחי, הפושעים לקחו את הרעיון צעד אחד קדימה והפכו את החבילות הלא רצויות לכלי להונאה פיננסית גרידא. הם מנצלים את הסקרנות הטבעית של האנשים כדי לגרום להם לחשף את עצמם לסיכונים דיגיטליים משמעותיים.
הסוכנות הפדרלית מדגישה שלמרות שהתופעה אינה נפוצה מאוד עדיין, היא מתפשטת בקצב מהיר ויכולה לגרום לנזקים כלכליים משמעותיים לקורבנותיה. החבילות המזויפות נשלחות ללא מידע מזהה של השולח בכוונה תחילה, כדי לעורר את סקרנותו של המקבל ולגרום לו לסרוק את הקוד.
ה-FBI מפרסם מספר הנחיות ברורות שעל הציבור לפעול לפיהן:
ראשית, אין לקבל חבילות שלא הוזמנו ממקורות לא מוכרים. אם בכל זאת התקבלה חבילה כזו, יש להשליך אותה מיד ולא לסרוק שום קוד המצורף אליה.
שנית, אין לסרוק קודי QR המגיעים ממקורות לא מוכרים או חשודים, גם אם הם לא מגיעים על גבי חבילות פיזיות. קודי QR יכולים להיות מסוכנים במגוון מקומות - על מדבקות ברחוב, במיילים חשודים או באתרי אינטרנט מפוקפקים.
שלישית, אם כבר נסרק קוד חשוד, אין למסור מידע אישי או פיננסי באף צורה שהיא, וחשוב לנתק את הטלפון מהאינטרנט ולהריץ סריקת אנטי-וירוס מלאה.
הסוכנות הפדרלית קוראת לציבור לדווח על חבילות חשודות באתר www.ic3.gov, תוך מתן פרטים מלאים על השולח (אם קיים), אמצעי התקשורת שבהם נעשה שימוש, אפליקציות שהורדו או הרשאות שניתנו למכשירים אלקטרוניים.
למבוגרים מעל גיל 60 מוקצה קו חם מיוחד של משרד המשפטים האמריקני בטלפון (833) 372-8311, שכן הם נחשבים לקבוצת סיכון גבוהה במיוחד להונאות מסוג זה.
התופעה החדשה מדגימה כיצד פושעי האינטרנט מתאימים את עצמם לטכנולוגיות חדשות ומנצלים הרגלי צרכנות משתנים כדי לפגוע באזרחים. ה-FBI מדגיש כי המפתח למניעת נזק הוא חינוך הציבור ועלייה ברמת המודעות לסכנות הדיגיטליות המתפתחות.
האזהרה מגיעה בעת שקודי QR הופכים נפוצים יותר מאי פעם בחיי היומיום, מתפריטי מסעדות ועד תשלומים דיגיטליים, מה שהופך את האזרחים לפגיעים יותר להונאות מתוחכמות המנצלות את הטכנולוגיה הנפוצה הזו.