Att skanna den QR-koden kan vara farligare än du inser

April 13, 2022
IMiscellanea

click fraud protection

QR-koder är lika farliga som skadliga länkar i e-postmeddelanden.
Dessa koder innehåller länkar som kan öppna appar, starta telefonsamtal, dela din plats med mera.
Skydda dig själv genom att undvika QR-koder och använd en länk istället.

Ett caféskyltfönster med en QR-kod tryckt på vitt papper fast i fönstret. — Rebecca Hausner / Unsplash

Istället för att plocka upp en smutsig restaurangmeny med bara händerna har vi vant oss vid QR-kodernas hygien. Men de kan vara lite smutsigare och mycket farligare än du kanske tror.

2015, en tysk ketchupälskare skannade QR-koden på deras flaska Heinz och skickades direkt till en porrsajt. Det kan vara pinsamt, men det får värre konsekvenser för att blint skanna QR-koder. Enligt lösenordshanterarens tjänst 1Password, QR-koder kan utlösa telefonsamtal, förråda din plats, starta ett telefonsamtal som avslöjar ditt nummerpresentation och mer. Så vad kan vi göra åt det?

"Vi har alla blivit betingade av att skanna en QR-kod för att bläddra i en meny eller till och med betala våra räkningar, och cyberbrottslingar drar nytta av detta genom att använda skadliga QR-koder."

Craig Lurey, cybersäkerhetsexpert och medgrundare av Keeper Security, berättade för Lifewire via e-post. "Så vad som kan se ut som en kod för att betala för en parkeringsmätare, och sidan kommer att se otroligt legitim ut, du anger faktiskt dina kreditkortsuppgifter direkt i en tjuvs databas."

Dåliga länkar

En QR-kod är bara en genväg till en länk som kan läsas av din telefons kamera och sedan avkodas. Vi har alla blivit tränade att aldrig klicka på en länk i ett e-postmeddelande, även om det ser legitimt ut. Men QR-kodlänkar är lika farliga och har det extra problemet att du inte kan se vart de leder förrän du skannar dem.

När vi tänker på länkar tänker vi på webbadresser som tar oss till webbplatser. Och i fallet med Heinz ketchup porr hack, det var problemet – Heinz lät domännamnet förfalla, och någon annan köpte det och laddade det sedan med smutsiga bilder. Webbadresser är farliga, som Lureys parkeringsmätare nätfiske illustrerar, men länkar kan göra mycket mer.

"Ett av de största problemen är att till skillnad från webbplatser identifierar QR-länkar till förkortade webbadresser sällan företagsnamnet." Monti Knode, tidigare befälhavare för USAF 67th Cyberspace Operations Group, berättade för Lifewire via e-post. "En person klickar på den och antar att den kommer att tillhandahålla en restaurangmeny, konferensagenda eller till och med en välgörenhetslänk, och det kan mycket väl vara en falsk sida eller en skadlig länk som laddar ner kod till din dator eller mobil enhet."

På våra telefoner kan länkar utlösa appar. En Google Maps-länk öppnas till exempel i kartappen. Länkar kan också utlösa telefonsamtal, lägga till kontakter i din adressbok (och därför göra att framtida samtal och e-postmeddelanden verkar vara legitima), de kan dela din plats och mer.

En genialisk bluff innebär att det inte går bra att ändra en befintlig, legitim QR-kod och använda den för att omdirigera offer. Annonsör Robert Barrows delade en berättelse om sin Video Enhanced Gravemarker.

"Jag insåg att det kunde finnas flera problem med QR-koder på gravstenar", sa Barrows till Lifewire via e-post. "Vad händer om bläcket på QR-koden försämras med tiden? Kommer du att sluta länka till en helt annan webbplats? Vad händer om någon ändrar QR-koden med en markör?"

Samma sak kan hända med reklamaffischer, menyer eller vilken QR-kod som helst.

Någon som använder en smart telefon för att skanna en QR-kod för en restaurangmeny. — LeoPatrizi / Getty Images

Skydda dig själv

Steg ett i att skydda dig själv är att vara medveten. Skanna aldrig en QR-kod om du inte är säker på att den är säker. Vilket verkligen betyder, skanna aldrig en QR-kod någonsin.

Men om du måste skanna för att checka in på en restaurang eller bar eller se en meny, se först till att koden inte har manipulerats eller täckts med ett klistermärke med en annan QR-kod. Ett tips är att stänga av automatisk QR-kodskanning i telefonens inställningar om möjligt. Men egentligen är det bästa skyddet att vara försiktig.

"När det är möjligt, precis som med potentiella nätfiske-länkar, är rekommendationerna att gå direkt till leverantörens webbplats för att hämta den information du letar efter." Dave Cundiff, CISO för cybersäkerhetsföretaget Cyvatar, berättade för Lifewire via e-post. "I de flesta fall är informationen webbhotell och tillgänglig direkt på leverantörens webbplats någonstans."

Om länken inte är tillgänglig ska du inte skanna den. Det är mycket mindre bekvämt men inte lika obekvämt som att prata dagar eller veckor för att hantera nedfallet av en skadlig länk.