digital vägledning

Kapning av QR-koder kan styra om donationer till kriminella

QR-koder är omåttligt populära men också oerhört öppna för bedrägerier när de används i offentliga utrymmen och forum. Att kapa donationer är ett exempel på hur bedragare kan utnyttja ditt beroende av QR-koder.

Per Axbom

Per Axbom

Kapning av QR-koder kan styra om donationer till kriminella

Det är inte ovanligt att jag ser kampanjer på sociala medier som ber om donationer för pressande och berömvärda humanitära insatser. Det jag lagt märke till är en övertro på QR-koder i grafiken man delar. Det som bekymrar mig är hur enkelt det är för människor med skadliga avsikter att helt enkelt redigera dessa bilder och dela dem med en annan QR-kod. Det kan vara en QR-kod som omdirigerar alla donationer till egna konton och utnyttjar förtroendet för personen eller organisationen bakom kampanjen.

Det primära dilemmat är hur svårt det är för människor att märka skillnader mellan QR-koder. Eller att förstå något av deras innehåll, egentligen. Och utifrån vad jag har bevittnat finns det ett växande, missriktat förtroende för QR-koder som gör många människor redo att skanna i stort sett vad som helst utan att tänka efter.

Att skanna en QR-kod uppmuntrar verkligen inte människor att dubbelkolla att de hamnar på rätt plats. Det uppmuntrar till snabbhet och att inte tänka mycket alls.

Om människor skannar en QR-kod på en bild som ser trovärdig ut och hamnar på en donationssida, vad skulle få dem att inte donera? Det skulle behöva göras en ordentlig grävinsats innan misstankar uppstår. Och uppmuntras folk av kampanjernas avsändare att vara försiktiga och leta efter tecken på bedrägeri? Sällan.

💡
Det enda sättet för den potentiella givaren att inse att de är på rätt eller fel sida är om de i förväg vet hur sidan ska se ut och/eller om de känner till den officiella webbadressen (url:en) och ser till att verifiera detta.

Hur funkar det?

Det är alldeles för enkelt. Bedragare laddar ner din grafik och infogar sin egen QR-kod ovanpå din. Deras QR-kod leder till en annan betaltjänst men är designad för att se ut som att den stödjer samma ändamål. Det är praktiskt taget omöjligt för någon att se skillnaden i grafiken. Och de flesta människor letar inte ens efter någon skillnad.

Sedan publicerar skurkarna sin manipulerade grafik och använder ord som berömmer och lovordar din kampanj, vilket får det att verka som om de främjar och vill ge din kampanj en skjuts. Det är svårt att inte bli smickrad av detta. Det kan till och bli så att du gillar eller eller återpublicerar deras vänliga inlägg, vilket ger deras falska grafik ett trovärdigt erkännande.

Exempel på två kampanjbilder som ser likadana ut men har olika QR-koder. En är originalet, en är fejk.

Svindlare kommer sannolikt att använda sin grafik i egna inlägg på olika konton men också när de kommenterar eller citerar inlägg, och försöker förstås sprida bilden så mycket som möjligt. Deras förhoppning är att människor av misstag använder deras version av grafiken så mycket som möjligt. Även om det bara är ett fåtal personer som scannar är det en billig, och lönsam, blåsning att genomföra.

Sociala medier-scenario

Föreställ dig att du ansvarar för en kampanj som tagit fram en grafik där du ber om donationer, och även uppmuntrar människor att skanna en QR-kod. Du ser någon på sociala medier som lägger upp din grafik och uppmuntrar att donera till dina syften. Deras inlägg är förmodligen fullt av beröm för dig och ditt engagemang. Den gör dig glad och stolt, så du återpublicerar deras inlägg och tackar dem.

Föreställ dig nu att personen faktiskt inte publicerade din grafik, utan en manipulerad grafik med sin egen QR-kod i stället för din. Så nu har du återpublicerat deras version av bilden för alla dina egna följare, intygat den och hjälpt dem i deras manipulation.

Rekommendationer

  • Om du är kampanjansvarig,
    • lita inte på QR-koder i grafik på sociala medier,
    • skriv ut officiella länkar med officiella, igenkännbara domännamn,
    • använd en landningssida på din officiella webbplats med en länk till betaltjänsten, istället för att länka direkt till en betalningsgateway,
    • på sociala medier: lägg upp länken till din egen landningssida, inga QR-koder.
  • Om du är en bidragsgivare,
    • undvik att skanna QR-koder när du inte är extremt säker på att den tar dig till en adress som du känner till i förväg och kan dubbelkolla,
    • be om den officiella länken – hela webbadressen – till sidan där donationer ska göras, och dubbelkolla den innan du skickar dina pengar,
    • eller alternativt, gå över till organisationens webbsida för att hitta kampanjen och donationslänken på den domän du litar på.
  • Vem du än är,
    • lägg inte upp grafik från konton som inte är anslutna till kampanjägaren,
    • hitta den officiella kanalen och återpublicera deras inlägg om kampanjen,
    • och varna kampanjägare om dessa risker om de inte verkar vara medvetna.

Kom ihåg att webbadresser på kampanjmaterial också kan redigeras. Detta upptäcks oftast lättare, och särskilt av kampanjägare själva som kan se att adressen är fel. Det är därför kriminella älskar QR-koder. Men ibland kan kriminella också registrera domännamn som är mycket lika de ursprungliga, vilket kräver en närmare titt.

Allt detta understryker behovet av ett igenkännbart domännamn för officiell kommunikation. Ta detta på stort allvar för att undvika att publicera material som kan manipuleras till att kanalisera pengar till kriminella personer och organisationer.

Read more