Jag noterade idag att kampanjen från Bris (Barnens rätt i samhället) fortfarande är igång på Coops mjölkpaket. Så jag roade mig med att skissa på en förklaring av vad det är som händer när barn skannar den där QR-koden. Tidigare har jag fokuserat på datainsamling, men nu vill jag fokusera på flödet och hur kampanjens upplägg går stick i stäv med att skapa en trygg vägledning.
Vi föreställer oss att Robin, 12 år, läser på mjölkpaketet samtidigt som hen mumsar på en skål med chokladpuffar till frukost.
- Bris uppmuntrar Robin att skanna en kod utan att ge en ledtråd om vad det är som ska hända när hen skannar den. Det finns alltså ingen information som kan ge Robin en uppfattning om vad som ska hända efter att koden aktiveras.
Det finns heller ingen möjlighet att komma vidare utan QR-koden. Robin kan till exempel inte skriva in en webbadress i stället.
Redan här skulle jag vilja att mina barn avbryter tanken på att gå vidare. Det finns helt enkelt för lite information om QR-koden. Om länken kapas finns inget sätt att notera att man hamnat fel.
Robin lyfter telefonen, öppnar kameran och riktar den mot koden.
- Koden leder till en mellansida hos Bitly - en tjänst för kortlänkar som också används för att få statistik om alla som klickar, eller skannar. Bitly är en amerikansk tjänst som loggar statistik om besöket, och som använder en toppdomän (
.ly)från Libyen. Libyen har tidigare haft synpunkter på vilka länkar som Bitly får förkorta.
När Robin håller upp sin telefonkamera mot QR-koden så visar den på hens iPhone bara bit.ly som länk i “sökaren”. Bris vill alltså att Robin klickar på en länk som inte går att verifiera i förväg, med ett domännamn som inte har något med Bris eller Coop att göra.
Det går faktiskt att ha sitt eget domännamn hos Bitly. Kortlänken skulle till exempel kunna vara vara hej.bris.se. Men det har Bris valt bort och använder nu samma gratisadress som resten av världen. Effekten blir att Bris signalerar till Robin och alla andra barn att Bris litar på bit.ly.
Vet man inget om Bitly sedan tidigare så har Bris i och med detta gett sitt okej, till och med uppmuntran, till att använda tjänsten. Många barn kommer bli mer benägna att klicka på Bitly-länkar i framtiden. Det är ett problem eftersom vem som helst och när som helst kan skapa en Bitly-länk till en bedräglig webbplats.
bit.ly/briscoop. Om jag ändrar eller lägger till något tecken i den länken, så att det till exempel blir bit.ly/bris-coop så skulle det kunna vara en länk som vilken bedragare som helst använder. För att visa hur enkelt det är så har jag nu pekat den alternativa länken till den här sidan.Jag skulle nu också kunna skapa en QR-kod som leder till
bit.ly/bris-coop och det blir genast mer trovärdigt tack vare att Bris själva gjort på det sättet.- Även om bit.ly syns i telefonen när Robin skannar, och trycker på skärmen för att aktivera länken, så passerar den där Bitly-länken knappt märkbart förbi. Den används bara för att logga information om användaren, och skickar vidare till en helt annan annan sida. I det här fallet skickas Robin till
bris.frankfam.co.
Jag föreställer mig hur mina egna barn tar sig för pannan. Robin måste nu helt lita på ett domännamn (frankfam.co) som inte alls har nämnts tidigare i kommunikationen, och med en toppdomän som inte heller är svensk utan egentligen indikerar Colombia(!).
Toppdomänen .co används också ofta för typosquatting, eller "felstavnings-kapning". Det vill säga att man medvetet registrerar andras namn för att ta emot trafik ämnad för legitima företag. Detta eftersom många som tänkte skriva .com kanske skriver fel.
Det här är alltså väldigt likt hur bedragare utövar phishing, eller nätfiske... alltså: förbrytaren använder ett trovärdigt varumärke (Bris) och anger det till exempel som subdomän på sitt eget domännamn för att få besökaren att tro att det goda varumärket är avsändare, eller gett sitt godkännande.
Nu är det ju goda intentioner i det här fallet, men det avvikande domännamnet kommenteras eller förklaras aldrig i kampanjen. Om mina barn ser ett domännamn som inte är kopplat till avsändaren så backar de. Särskilt om det aldrig tydliggörs varför. Och backa tycker jag alla ska göra i det läget. Då skulle färre till exempel bli lurade av falska QR-koder på betalautomater.
bit.ly/bris-coop+. Och den som ser den riktiga kampanjens målsida på bit.ly/briscoop+ bör alltså direkt känna sig tveksam, för den länken går ju inte till bris.se.- När Robin till slut klickar på knappen på Frankfam-sidan så öppnas appen Snapchat. I alla fall om Robin har Snapchat på sin telefon. Robin är ju 12 och får egentligen inte ha ett sådant konto. Huruvida hela den här resan är värd upplevelsen i Snapchat tänker jag inte försöka bedöma. Det får varje barn bedöma på egen hand. För att det ska funka behövs dock tillgång till mjölkpaketet... länken räcker inte.
Hur ska jag förhålla mig till detta?
Föräldrar som uppmuntrar sina barn att skanna den där QR-koden lär dem tyvärr att lita på diverse domännamn utan närmare eftertanke. Och kanske lite för mycket även på QR-koder.
Men det fina är att vi nu alla istället kan sitta ner tillsammans med barn i vår närhet och prata om vilka fel som görs i kampanjen. Steg för steg kan vi diskutera vad Robin ser och gör.
Och samtidigt pratar vi såklart om hur Bris kan få Robin känna att sig mer trygg med länkarna, och hur Robin kan hjälpas till att bli mer motståndskraftig mot lurendrejeri snarare än mindre försiktig.
Läs mer
Per Axbom
Per Axbom
Per Axbom
Medlemsdiskussion