Risker med QR-koder

Att man inte ska klicka på länkar från okända avsändare är många medvetna om. Men, hur tänker du och ditt företag med säkerheten kring QR-koder?

"Att scanna en okänd QR-kod är läskigt nära beteendet att sätta in en okänd USB-sticka i sin dator", skrev integritetsexperten Calli Schroeder nyligen på Twitter.

QR-koder innebär nu att det kan bli ännu lättare att lura in människor på illvilliga webbsidor, trigga skript och fiska efter lösenord eller andra personuppgifter.

Problembilden förstärks av att man inte ser skillnad på en "snäll" och en "elak" QR-kod. Och precis som i många andra phishing-attacker behöver du inte ens märka att du blivit utsatt, eftersom du efter hand kan ledas vidare till den sida du förväntade dig.

Jag kan till exempel trycka upp klistermärken med mina egna QR-koder som jag klistrar ovanpå QR-koder på restauranger, bankkontor, event, kontor, butiker, och så vidare. En kod det ser ut som att du förväntas scanna kan alltså vara lömsk. Hur skulle du se skillnad?

"På webbadressen innan man klickar" svarar kanske en del. Men, handen på hjärtat, hur många tror vi aktivt hejdar sig och granskar en kanske felstavad webbadress?

Jag skulle också tll exempel kunna dela ut "oskyldig" direktreklam i brevlådor, eller vid busshålplatsen, med massor av fina QR-koder som till exempel innebär att du "vinner priser".

Det kan alltså vara läge att påminna kollegor, familj och vänner om riskerna med QR-koder. Hur roliga de än må vara att scanna.

Kommentarer

17 juli 2024. Lars:

Hej, intressant med oss i Sverige som ser det digitala som guds gåva till mänskligheten. Framför allt BankID som är som en huvudnyckel till allt du som individ kan göra. QR-koden eller varför inte fri WI-fi är man inte så uppmärksam på.

Jag har en fråga: Hur kan man säkra upp eller visa för användaren att QR-koden är äkta- och seriös?

Pers svar: Ja den stora nackdelen med QR-koder är förstås att det inte finns ett enkelt sätt att verifiera vem som är dess avsändare, och om den leder till en sida eller funktion som garanterar att du inte blir lurad. Det allra minsta man kan begära är att avsändaren använder sitt ordinarie domännamn, till exempel att Skatteverket använder skatteverket.se, men här misslyckas många också och länkar till kampanjsajter med helt andra adresser. Risken är också att någon skapar en sida med ett snarlikt domännamn (till exempel skatteverkel.se), vilket kan vara lätt att missa även för någon som är van att hålla koll på webbadressen... texten är ganska liten i en mobil.

Om du står inne på någons kontor, och de har satt sin QR-kod bakom en glasskiva, kan du kanske känna dig rätt säker att ingen bytt ut koden ändå. Jag skulle personligen ändå begära att i förväg få veta vilken webbadress jag förväntas komma till.