Att man inte ska klicka på länkar från okända avsändare är många medvetna om. Men, hur tänker du, eller din organisation, när det gäller QR-koder och säkerhet?

"Att skanna en okänd QR-kod är läskigt nära beteendet att sätta in en okänd USB-sticka i sin dator." – integritetsexperten Calli Schroeder

QR-koder gör det lättare att lura in människor på illvilliga webbsidor, installera skadlig mjukvara och "fiska" efter lösenord eller andra personuppgifter.

Det tydligaste dilemmat med QR-koder är att du med blotta ögat inte ser skillnad på en "snäll" och en "elak" QR-kod. Och precis som i många andra så kallade phishing-attacker ("nätfiske" på svenska) kanske du inte ens märker när du blir utsatt. Efter att ha passerat en sida som lurar av dig uppgifter kan du ledas vidare till den sida du förväntade dig – som om inget lurt alls har hänt.

Den vanligaste bluffen

Ett enkelt sätt att utnyttja QR-kodens bedrägliga egenskaper är att trycka upp klistermärken med egna QR-koder och klistra dessa ovanpå QR-koder på restauranger, bankkontor, event, affischer, butiker, och så vidare. Du förväntas skanna vissa koder, och kanske uppmanas av en trovärdig person att göra det, men varken du eller den riktiga avsändaren kan lätt se om koden ersatts.

Ett annat tillvägagångssätt är att dela ut flygblad i brevlådan eller på stora arrangemang, som uppmanar människor att skanna QR-koder och uppge personuppgifter för att vinna åtråvärda priser, eller donera pengar till ett gott ändamål. Pengarna hamnar rakt in på tjuvens konto och inga priser eller gåvor delas ut. Eller så har man helt enkelt lagrat uppgifterna till ett betal- eller kreditkort utan att ännu dra pengar.

Förbrytare ersätter gärna QR-koder på riktiga kampanjer och insamlingar, vilket ger en falsk legitimitet. Få dubbelkollar om deras donation verkligen går till rätt organisation.

Konkreta exempel på hur bedragare gör (uppdateras):

Falsk QR-kod på en parkering
Jag varnar ofta för QR-koder men ibland är det lättare att förstå allvaret om man tydligt får se hur det faktiskt kan se ut. Här ser du en film jag fått tillåtelse att använda i utbildningssyfte (med min röst pålagd). I filmen pillar en kvinna bort ett klistermärke på en
AxbomPer Axbom
Kapning av QR-koder kan styra om donationer till kriminella
QR-koder är omåttligt populära men också oerhört öppna för bedrägerier när de används i offentliga utrymmen och forum. Att kapa donationer är ett exempel på hur bedragare kan utnyttja ditt beroende av QR-koder.
AxbomPer Axbom
Hotellets QR-koder banar väg för bedrägerier
När man varit tillbaka från semestern några veckor kan sommarens utflykter och samkväm kännas oerhört avlägsna. Men ett besvärande semesterminne från en känd svensk hotellkedja kan jag inte riktigt släppa. Inte för att rummet inte var till belåtenhet. Nej, det handlar om ett potpurri av papperslappar i promenoaren*. Eller en
AxbomPer Axbom

Tryggast? Undvik alltid att skanna när du kan

Få personer hejdar sig aktivt och granskar en kanske felstavad webbadress på en liten skärm. De flesta har redan tillräckligt förtroende, eller är tillräckligt stressade, för att gå rakt i fällan. Av någon anledning har QR-koder fått ett oförtjänt positivt rykte som bidrar till ökad oaktsamhet. Och många har helt enkelt ingen direkt kunskap om att granska en länk efter tecken på manipulation.

Med tanke på hur svårt det är att genomskåda en falsk QR-kod brukar jag alltid försöka undvika att skanna när jag kan. Det skapar en rutinmässig försiktighet som lönar sig i längden.

Om du verkligen, verkligen måste skanna koden, tänk så här:

  1. Säkerställ att du vet vad som ska hända när du läser av koden och aktiverar den. Om ingen kan ge dig det svaret så är det höjden av oförsiktighet att gå vidare. Om du får svaret, och det är en webb-adress, skriv ändå hellre in länken själv än att lita på koden.
  2. Läs inte av koden med din kamera, som du ofta uppmuntras att göra, utan använd en app som kan tala om för dig så mycket som möjligt om QR-koden innan du aktiverar den. Jag kan rekommendera gratisversionerna av Trend Micros QR Scanner för Android, eller Lionic Secure QR Code Scanner för iOS. Båda dessa kan visa upp vart QR-koden leder utan att du riskerar att aktivera den av misstag. Du kan då först avgöra om du helt litar på den webbadress du leds till.
  3. Om sidan du kommer till direkt börjar fråga efter lösenord till någon tjänst, kortuppgifter eller andra personliga uppgifter: svara inte. Försök gå en annan väg, via organisationens officiella webbplats, och se om du hamnar på samma ställe. Prata med organisationens kundtjänst om du känner dig det minsta osäker.
⁉️
BankID och Freja använder ju QR-koder? Ja, men de kräver också att du använder deras officiella app när du skannar koden. Inget händer om du försöker läsa av koden med den vanliga kamera-funktionen. Det är tryggare. I de fallen innehåller QR-koden inte en länk utan en form av PIN-kod, som endast är till nytta för respektive app.

Anmäl när du råkar illa ut, och varna andra

Har du gått i fällan? Tro mig, det händer även säkerhetsexperter. Så skäms inte, utan anmäl och ta nödvändiga steg för att skydda dig själv. Hör av dig till banken, byt dina lösenord och polisanmäl. Om QR-koden låtsades komma från en seriös aktör, berätta även för dem.

Finns det alls någon QR-kod du säkert kan lita på? Ja, svaret på det är nog att du kan lita på de koder du skapat själv och har uppsikt över. Alternativt de QR-koder som kräver en officiell app som du har tillit till.

Fördelen med QR-koder, där QR står för quick response, brukar lyftas med motiveringen att de är snabba och förlåtande. Det går lätt att skanna och du behöver inte skriva in något med tangentbordet. Men lätthet är också förrädiskt. När vi tar bort friktion – och med det även viktig information och vägledning – så blir det enkelt att halka in på stigar man inte hade för avsikt att beträda.

Det är absolut läge att påminna kollegor, familj och vänner om riskerna med QR-koder. Hur roligt, eller tryggt, det än känns att skanna dem.

🎣
Värt att veta: Quishing är ett relativt nytt begrepp som beskriver bedrägliga QR-koder som används för att lura av dig uppgifter. Det är en lek med ordet phishing, som vi på svenska brukar kalla nätfiske.

Läs också

Så bidrar Bris till att göra barn mindre aktsamma på nätet
Bris kampanj går precis tvärt emot det jag lärt mina barn om hur man undviker bedrägerier. Här är alla fel Bris gör, steg-för-steg. Bland annat ger Bris trovärdighet åt en tjänst som ofta används för problematiska länkar, vilket kan göra barn mer oförsiktiga.
AxbomPer Axbom

Kommentarer

17 juli 2024. Lars:

Hej, intressant med oss i Sverige som ser det digitala som guds gåva till mänskligheten. Framför allt BankID som är som en huvudnyckel till allt du som individ kan göra. QR-koden eller varför inte fri WI-fi är man inte så uppmärksam på.

Jag har en fråga: Hur kan man säkra upp eller visa för användaren att QR-koden är äkta- och seriös?

Pers svar: Ja den stora nackdelen med QR-koder är förstås att det inte finns ett enkelt sätt att verifiera vem som är dess avsändare, och om den leder till en sida eller funktion som garanterar att du inte blir lurad. Det allra minsta man kan begära är att avsändaren använder sitt ordinarie domännamn, till exempel att Skatteverket använder skatteverket.se, men här misslyckas många också och länkar till kampanjsajter med helt andra adresser. Risken är också att någon skapar en sida med ett snarlikt domännamn (till exempel skatteverkel.se), vilket kan vara lätt att missa även för någon som är van att hålla koll på webbadressen... texten är ganska liten i en mobil.

Om du står inne på någons kontor, och de har satt sin QR-kod bakom en glasskiva, kan du kanske känna dig rätt säker att ingen bytt ut koden ändå. Jag skulle personligen ändå begära att i förväg få veta vilken webbadress jag förväntas komma till.