Å skanne den QR-koden kan være farligere enn du er klar over

April 13, 2022
IMiscellanea

QR-koder er like farlige som ondsinnede lenker i e-poster.
Disse kodene inneholder lenker som kan åpne apper, starte telefonsamtaler, dele posisjonen din og mer.
Beskytt deg selv ved å unngå QR-koder, og bruk en lenke i stedet.

En kafébutikk med en QR-kode trykket på hvitt papir fast i vinduet. — Rebecca Hausner / Unsplash

I stedet for å plukke opp en skitten restaurantmeny med bare hender, har vi blitt vant til hygienen med QR-koder. Men de kan være litt skitnere og mye farligere enn du kanskje tror.

I 2015, en tysk ketchup-elsker skannet QR-koden på flasken med Heinz og ble sendt rett til en pornoside. Det kan være flaut, men det er verre konsekvenser for blindskanning av QR-koder. I følge passordbehandlingstjenesten 1Password, QR-koder kan utløse telefonsamtaler, forråde posisjonen din, starte en telefonsamtale som avslører anrops-ID og mer. Så hva kan vi gjøre med det?

"Vi har alle blitt betinget av å skanne en QR-kode for å bla gjennom en meny eller til og med betale regningene våre, og nettkriminelle utnytter nå dette ved å bruke ondsinnede QR-koder,"

Craig Lurey, nettsikkerhetsekspert og medgründer av Keeper Security, fortalte Lifewire via e-post. "Så det som kan se ut som en kode for å betale for en parkeringsmåler, og siden vil se utrolig legitim ut, du legger faktisk inn kredittkortopplysningene dine direkte i en tyvs database."

Dårlige lenker

En QR-kode er bare en snarvei til en lenke som kan leses av telefonens kamera og deretter dekodes. Vi har alle blitt opplært til å aldri klikke på en lenke i en e-post, selv om det ser legitimt ut. Men QR-kodelenker er like farlige og har det ekstra problemet at du ikke kan se hvor de fører før du skanner dem.

Når vi tenker på lenker, tenker vi på nettadresser som tar oss til nettsider. Og i tilfellet med Heinz ketchup porno hack, det var problemet – Heinz lot domenenavnet forfalle, og noen andre kjøpte det og lastet det med skitne bilder. Nettadresser er farlige, som Lureys parkeringsmeter phishing-svindel illustrerer, men lenker kan gjøre mye mer.

"Et av de største problemene er at, i motsetning til nettsteder, identifiserer QR-lenker til forkortede URL-er sjelden bedriftsnavnet," Monti Knode, tidligere sjef for USAF 67th Cyberspace Operations Group, fortalte Lifewire via e-post. "En person klikker på den og antar at den vil gi en restaurantmeny, konferanseagenda eller til og med en veldedighetslenke, og det kan meget vel være et forfalsket nettsted eller en ondsinnet lenke som laster ned kode til datamaskinen eller mobilen din enhet."

På telefonene våre kan lenker utløse apper. En Google Maps-lenke åpnes for eksempel i kartappen. Koblinger kan også utløse telefonsamtaler, legge til kontakter i adresseboken din (og derfor få fremtidige anrop og e-poster til å se ut til å være legitime), de kan dele posisjonen din og mer.

En genial svindel innebærer at det ikke går bra å endre en eksisterende, legitim QR-kode og bruke den til å omdirigere ofre. Annonsør Robert Barrows delte en historie om sin Video Enhanced Gravemarker.

"Jeg innså at det kunne være flere problemer med QR-koder på gravsteiner," sa Barrows til Lifewire via e-post. "Hva skjer hvis blekket på QR-koden forfaller over tid? Vil du ende opp med å lenke til et helt annet nettsted? Hva skjer hvis noen endrer QR-koden med en markør?"

Det samme kan skje med reklameplakater, menyer eller en hvilken som helst QR-kode.

Noen som bruker en smarttelefon til å skanne en QR-kode for en restaurantmeny. — LeoPatrizi / Getty Images

Beskytter deg selv

Trinn én i å beskytte deg selv er å være oppmerksom. Skann aldri en QR-kode med mindre du er sikker på at den er trygg. Som egentlig betyr, aldri skann en QR-kode noensinne.

Men hvis du må skanne for å sjekke inn på en restaurant eller bar eller se en meny, må du først kontrollere at koden ikke er tuklet med eller dekket med et klistremerke med en annen QR-kode. Et tips er å slå av automatisk QR-kodeskanning i telefonens innstillinger, hvis mulig. Men egentlig er den beste beskyttelsen å være forsiktig.

"Når det er mulig, akkurat som med potensielle phishing-lenker, er anbefalingene å gå direkte til leverandørens nettsted for å hente informasjonen du leter etter," Dave Cundiff, CISO i cybersikkerhetsselskapet Cyvatar, fortalte Lifewire via e-post. "I de fleste tilfeller er informasjonen webhotellet og tilgjengelig direkte på leverandørens nettsted et sted."

Hvis lenken ikke er tilgjengelig, ikke skann den. Det er mye mindre praktisk, men ikke så upraktisk som å snakke dager eller uker med å håndtere nedfallet av en ondsinnet kobling.