Key takeaways
- QR-koder er like farlige som ondsinnede lenker i e-poster.
- Disse kodene inneholder lenker som kan åpne apper, starte telefonsamtaler, dele posisjonen din og mer.
- Beskytt deg selv ved å unngå QR-koder, og bruk en lenke i stedet.
I stedet for å plukke opp en skitten restaurantmeny med bare hender, har vi blitt vant til hygienen med QR-koder. Men de kan være litt skitnere og mye farligere enn du kanskje tror.
I 2015 skannet en tysk ketchupelsker QR-koden på flasken med Heinz og ble sendt rett til et pornonettsted. Det kan være flaut, men det er verre konsekvenser for blindskanning av QR-koder. I følge passordbehandlingstjenesten 1Password kan QR-koder utløse telefonsamtaler, forråde posisjonen din, starte en telefonsamtale som avslører anrops-ID og mer. Så hva kan vi gjøre med det?
"Vi har alle blitt betinget av å skanne en QR-kode for å bla gjennom en meny eller til og med betale regningene våre, og nettkriminelle utnytter nå dette ved å bruke ondsinnede QR-koder," Craig Lurey, nettsikkerhetsekspert og co. -grunnlegger av Keeper Security, fort alte Lifewire via e-post. "Så det som kan se ut som en kode for å betale for en parkeringsmåler, og siden vil se utrolig legitim ut, du legger faktisk inn kredittkortopplysningene dine direkte i en tyvs database."
Dårlige koblinger
En QR-kode er bare en snarvei til en lenke som kan leses av telefonens kamera og deretter dekodes. Vi har alle blitt opplært til å aldri klikke på en lenke i en e-post, selv om det ser lovlig ut. Men QR-kodelenker er like farlige og har det ekstra problemet at du ikke kan se hvor de fører før du skanner dem.
Når vi tenker på lenker, tenker vi på nettadresser som tar oss til nettsteder. Og i tilfellet med Heinz ketchup porno hack, det var problemet - Heinz lot domenenavnet forfalle, og noen andre kjøpte det og lastet det med skitne bilder. Nettadresser er farlige, som Lureys parkeringsmåler phishing-svindel illustrerer, men lenker kan gjøre mye mer.
"Et av de største problemene er at, i motsetning til nettsteder, identifiserer QR-lenker til forkortede URL-er sjelden virksomhetsnavnet," sa Monti Knode, tidligere sjef for USAF 67th Cyberspace Operations Group, til Lifewire via e-post. "En person klikker på den og antar at den vil gi en restaurantmeny, konferanseagenda eller til og med en veldedig lenke, og det kan meget vel være et forfalsket nettsted eller en ondsinnet lenke som laster ned kode til datamaskinen eller mobilenheten din.«
På telefonene våre kan lenker utløse apper. En Google Maps-lenke åpnes for eksempel i kartappen. Koblinger kan også utløse telefonsamtaler, legge til kontakter i adresseboken din (og derfor få fremtidige anrop og e-poster til å se ut til å være legitime), de kan dele posisjonen din og mer.
En genial svindel innebærer at en aldri gjør det bra å endre en eksisterende, legitim QR-kode og bruke den til å omdirigere ofre. Annonsøren Robert Barrows delte en historie om sin Video Enhanced Gravemarker.
"Jeg innså at det kunne være flere problemer med QR-koder på gravsteiner," sa Barrows til Lifewire via e-post. "Hva skjer hvis blekket på QR-koden forfaller over tid? Vil du ende opp med å lenke til et helt annet nettsted? Hva skjer hvis noen endrer QR-koden med en markør?"
Det samme kan skje med reklameplakater, menyer eller en hvilken som helst QR-kode.
Beskytte deg selv
Trinn én for å beskytte deg selv er å være oppmerksom. Skann aldri en QR-kode med mindre du er sikker på at den er trygg. Det betyr egentlig, aldri skann en QR-kode.
Men hvis du må skanne for å sjekke inn på en restaurant eller bar eller se en meny, må du først kontrollere at koden ikke er tuklet med eller dekket med et klistremerke med en annen QR-kode. Et tips er å slå av automatisk QR-kodeskanning i telefonens innstillinger, hvis mulig. Men egentlig er den beste beskyttelsen å være forsiktig.
"Når det er mulig, akkurat som med potensielle phishing-lenker, er anbefalingene å gå direkte til leverandørens nettsted for å hente informasjonen du leter etter," sa Dave Cundiff, CISO i cybersikkerhetsselskapet Cyvatar, til Lifewire via e-post. "I de fleste tilfeller er informasjonen webhotellet og tilgjengelig direkte på leverandørens nettsted et sted."
Hvis lenken ikke er tilgjengelig, ikke skann den. Det er mye mindre praktisk, men ikke så upraktisk som å snakke dager eller uker med å håndtere utfallet av en ondsinnet kobling.
