Hotellets QR-koder banar väg för bedrägerier

Hotellets QR-koder banar väg för bedrägerier

När man varit tillbaka från semestern några veckor kan sommarens utflykter och samkväm kännas oerhört avlägsna. Men ett besvärande semesterminne från en känd svensk hotellkedja kan jag inte riktigt släppa. Inte för att rummet inte var till belåtenhet. Nej, det handlar om ett potpurri av papperslappar i promenoaren*. Eller en kavalkad av kuponger med QR-koder, om du så vill.

*En promenoar är en promenadkorridor eller foajé. Sådant som det finns gott om på just hotell.

Jag misstänker att det är ett arv från pandemin. Det här med att man nu förväntas boka vilken tid man ska äta frukost. Förbi är epoken när man kunde vakna på ett hotell, ligga och dra sig utan att bry sig om klockan, och så när det börjar kurra i magen saktmodigt krypa upp och ta sig med vana steg mot det logistiska haveri som fått namnet buffé.

Nuförtiden måste man alltså ställa in larm på telefonen så man inte missar det begränsade blocket för förtäring. En semesterskymf.

Men nej, det är inte heller detta som är det centrala för min förbittring. Jag vill rikta min högaffel mot systemet som förekommer själva bokningen av det tvingande tidsfönstret för fastebrytande.

Lapp-skoj

Utspridda på borden i lobbyn ligger de nämligen. Lapparna. Små lappar med ett piktogram av en mobil, och inom dess ritade ramar det som är ämnat att ge mig snabb respons, eller quick response. Inte många känner till det, men det är alltså just detta som bokstäverna QR står för i kodens namn: Quick. Response.

Denna betydelse är förstås en extra underhållande detalj när jag observerar förvirrade gäster ta god tid på sig att syna lappen. Med famlande poser och trevande mobiler försöker de aktivera de magiska krafterna i krumelurerna. Allt annat än raskt.

Det finns faktiskt ingenting på själva lappen som ger någon som helst indikation av vad syftet med QR-koden är. De ligger bara där i drivor.

När vi checkar in får vi till slut den muntliga vägledningen. Portiern pekar med påtaglig procedur på högen och förklarar: "Använd den här för att boka er frukosttid." Som om det vore det naturligaste i världen. Som om det alltid är ett förväntat beteende hos en semestergäst att planera in tiden för inställelse vid brödrosten ett dygn i förväg. Lediga, pyttsan.

Vilseledande manöver

Jag förstår nu att den snabba responsen är en mer träffande beskrivning av receptionistens förmåga att avfärda eventuella frågor med att peka på en lapp och skyndsamt vända sig till nästa intet ont anandes QR-offer i kön.

Jag tar en lapp ur högen. Och samma sekund vet jag hur oundvikligt det är att jag kommer skriva den här texten.

Nu hör det till saken att jag arbetar med säkerhet, tillgänglighet och trygghet på internet. Och den här smått solkiga pappersbiten råkar ge utrymme för det rakt motsatta: nämligen lömskhet, opålitlighet och bedrägeri.

Låt mig förklara.

En QR-kod kan leda dig vart som helst. Du kan inte själv läsa vad som är det förväntade målet när du aktiverar den. Och det är svårt att med blotta ögat direkt se skillnad på två olika QR-koder. Tänk nu att jag blandar in mina egna varianter av samma lapp i de där högarna på hotellet. Det enda jag byter ut är den där lilla fyrkantiga koden, men det ser förstås inte du.

Min QR-kod blandas in i högen

Det hotellet har gjort med denna praxis för frukostbokning är alltså att öppna upp för en miljö som är särskilt gynnsam för bondfångeri. Hotellpersonalen, en trovärdig och pålitlig aktör, pekar på en lapp och säger åt dig att skanna den med din privata mobil. Varför skulle jag inte lita på det?

"Men skulle jag inte märka att jag hamnar någon helt annanstans?" tänker du förstås. Det kan ibland stämma om du vet exakt vilken webbsida du är tänkt att hamna på. Men det har du nu inte informerats om när du stoppar lappen i fickan – med den falska QR-koden som jag blandat in – och beger dig mot rummet.

Jag som bedragare bygger förstås en webbsida med hotellets logotyp. Du känner direkt att du hamnat rätt med din QR-kod när du ligger på sängen och "ska bara fixa frukostbokningen" medan ditt sällskap i badrummet förbereder sig för aftonens galej. Sidan frågar efter namn och rumsnummer. Självklart för en frukostbokning, tycker du.

Kanske finns sedan en enkät som är frivillig men som ber om ännu lite personuppgifter, förmodligen din hemadress. Texten jag skrivit ljuger om att du kan vinna en hotellnatt. Hårtorken brölar nu i hallen så du passar på att ta chansen. Och vips så har jag mer av din privata data.

Som grädde på moset ber sedan min falska webbsida dig att välja tid för frukosten. Det är nämligen det praktiska med hotellets upplägg. Jag kan bakom kulisserna genomföra bokningen åt dig, precis som du förväntade dig. Det finns få skäl att misstänka att jag lurat av dig information. Uppgifter som du tänker att bara hotellet fått tillgång till.

En extra vinstchans

Om jag känner mig extra illmarig ber jag dig samtidigt att dela något i sociala medier för en extra vinstchans, och visar en inloggningsruta för att göra det. Nu har jag plötsligt också ditt användarnamn och lösenord. Som du i värsta fall använder på fler ställen.

Så för all del, käraste skandinaviska hotellkedja, fortsätt med det här upplägget om ni vill bidra till en utformning av digitalt stöd som passar som hand i handske för fingerfärdiga it-banditer. Det blir ett nyskapande gästgiveri där man just bjuder på, och ger av, sina gäster.

Men du som står i begrepp att skanna en QR-kod på en allmän plats, tänk efter före. Det är väldigt lätt för mig att med en enkel klisterlapp, försedd med min egen QR-kod, agera mellanhand och lura av dig dina personuppgifter. Eller mer.

Har QR-koden bytts ut?

Att förlita sig på QR-koder som vem som helst enkelt kan komma åt, och ersätta med sin egen, är som att bjuda brottslingarna på buffé. Särskilt då när de är utspridda på ett bord, eller sitter på en skylt, och inte överlämnas direkt av en rättrådig representant.

Det här kan förstås försätta mängder av människor i skadliga situationer. Boven gynnas av att avsändaren bjuder på trovärdigheten, vare sig det är ett hotell, ett byggbolag, turistbyrån eller kommunen.

Responsen från lagens lurade arm blir nog tyvärr allt annat än kvick. Om du ens märker vad som just hänt. Orka bry sig, liksom. Frukosten är bokad, din vän är festklädd och nu ska semestern firas in.

Låter det långsökt? Skanna QR-koden för att lämna en kommentar.

qr-kod på hotell
📰
Är din tidning intresserad av kåserier om trygghet och säkerhet online? Jag är intresserad av att skriva mer. Hör av dig så pratar vi.

Lyssna

audio-thumbnail
Bedrägliga QR-koder
0:00
/664.3461224489796

Exempel

Varningar om falska qr-koder på laddstationer
Bedragarnas trick lurar elbilsägare i hela Europa.