QR-kode-svindel: – Du vet aldri hva som skjuler seg bak en QR-kode
– I de aller fleste tilfeller er det ikke farlig å scanne en QR-kode, sier Jan Roger Wilkens, sikkerhetsanalytiker i Telenor Security Operation Centre (TSOC).
Du ser dem overalt om dagen: Små, pikselerte symboler du kan scanne med mobilen – enten du skal betale, bestille noe, vise en billett eller gå inn på en nettside uten å måtte lese eller skrive inn en lang nettadresse.
Praktisk? Javisst. Men det enkle er ikke alltid det beste i møte med aktører med onde hensikter. Allerede før årets skattemelding er sendt ut av Skatteetaten, har kriminelle nå sendt ut meldinger om falske skattemeldinger – med QR-koder som leder inn til svindelsider.
– I likhet med alle andre lenker du kan trykke på, er dette en mulighet for å lure folk inn på falske eller skadelige nettsider. Men du vet aldri hva som skjuler seg bak en QR-kode før du faktisk har scannet den, sier Wilkens.
Det er mange måter du kan bli lurt av en QR-kode, og nedenfor viser Wilkens til tre konkrete eksempler.
Nettvern blokkerer farlige nettsider – også om du scanner en QR-kode ›
Kort for «quick response»-koder, er dette todimensjonale strekkoder som du kjapt kan scanne med en mobil eller andre digitale enheter.
En QR-kode kan inneholde ulike typer informasjon, som URL-lenker, tekst, eller annen data.
Opprinnelig utviklet for å spore deler i bilindustrien, brukes QR-koder i dag bredt i ulike sammenhenger som markedsføring, betaling, produktsporing, billettering, sammenkobling og mer.
1. Phishing via falske QR-koder og nettsider
Hvem som helst kan svært enkelt lage en QR-kode på nettet – der de selv bestemmer hvilken nettside den skal lede til.
Slik kan svindlere lett lage og spre QR-koder som hevder å gi tilgang til for eksempel eksklusive tilbud eller rabatter, men i stedet brukes for å samle inn personlige opplysninger eller spre skadelig programvare.
– Dette er nettsider som kan se helt ekte og legitime ut, men som er designet for å stjele personlig informasjon eller installere skadelig programvare på enheten din, sier Wilkens.
– Her er det bare fantasien som setter grenser på hvordan du kan lokkes til å scanne en QR-kode – der målet er å lure deg til å oppgi sensitive data som bankinformasjon eller påloggingsdetaljer.
Slik svindel omtales tradisjonelt som phishing. Men når det skjer via QR-koder, har det oppstått et nytt begrep for akkurat dette: Quishing.
Allerede før Skatteetaten har begynt å sende ut skattemeldingen for fjoråret, har svindlerne begynt å utnytte denne muligheten ved å sende ut falske skattemeldinger – nå også med en QR-kode som leder inn til en falsk nettside.
– Vi har allerede nå sett eksempler på denne type svindel via melding og e-post. Etter hvert som Skattemeldingen nærmer seg vil vi nok svært mange av oss motta en slik melding, forteller Thorbjørn Busch, leder for Fraud & Crime i Telenor.
Meldingene ser ut som de kommer fra Skatteetaten og du får beskjed om at du skal logge inn på en nettside for å fullføre og motta skatteoppgjøret ditt. Denne nettsiden er falsk og laget for å stjele informasjon som Bank-ID eller andre personopplysninger fra deg.
– De kriminelle prøver å være så relevante i meldingene sine som mulig, slik at mottakerne er mindre skeptiske til innholdet. Derfor ser vi en massiv økning av disse meldingene når folk flest vet at skattemeldingen nærmer seg, sier Busch.
I likhet med mange andre seriøse aktører, sender ikke Skatteetaten ut lenker i SMS eller e-post. Mottar du meldinger eller e-post med lenker eller QR-koder bør du derfor være varsom.
– Regelen bør alltid være at du ikke skal trykke på lenker du får i denne type e-post eller meldinger. QR-kode er også en lenke, og dermed bør du la være å scanne denne. Bruk heller den innloggingen du vanligvis bruker for å komme i kontakt med den virksomheten som meldingen eller e-posten gir seg ut for å komme ifra, sier Busch.
Mange kan også være nysgjerrige på QR-koder i det fri – hva kan skjule seg bak dem, mon tro? Gjerne fremstilles disse som svært gode tilbud, gratis lokkegoder, konkurranser eller andre ting som trigger folk til å scanne.
Uansett hva grunnen er til at du har scannet en QR-kode, gjelder ifølge Wilkens det samme som for andre linker du har trykket på:
– Sjekk at adressen i toppen av nettleseren er den plassen du vil være på, og ikke en svindel-side. Og tenk deg nøye om før du gir fra deg personlig informasjon etter å ha scannet en QR-kode eller trykket på en lenke.
2. Betalingsbedrageri med falske QR-koder
En annen måte QR-koder kan brukes i svindel, er nært beslektet med punktet over – men kanskje tettere koblet til den fysiske verden – ved at QR-koder settes inn eller byttes ut i situasjoner der du er forberedt på å bruke dem.
– Det har for eksempel vært flere tilfeller der noen har funnet falske parkeringsbøter på bilen, med en QR-kode der du blir bedt om å betale – eller at det er satt opp en falsk QR-kode på selve parkeringsautomaten, sier Wilkens.
– I begge disse tilfellene kan det være lett å scanne koden i den tro at du betaler til parkeringsselskapet, mens du egentlig er inne på falsk side der pengene går til svindlerne.
Dette kan også for eksempel skje på en restaurant, der det etter pandemien er blitt langt vanligere å scanne en QR-kode for å se menyen og betale for mat og drikke direkte via mobilen.
– Her kan noen bytte ut den ekte QR-koden med falske koder som fører til en falsk nettside med meny og det hele. Men om du bestiller og betaler, har du i virkeligheten oppgitt dine betalingsdetaljer til svindlerne, som så kan misbruke dette.
Slike typer svindel krever imidlertid fysisk arbeid og tilstedeværelse av de kriminelle, noe Wilkens mener at naturlig begrenser omfanget.
– Det er alltid lettere for de kriminelle å gjøre ting digitalt, uten å legge igjen fysiske spor. Men det betyr ikke at du ikke skal være på vakt, og både sjekke om både den fysiske QR-koden og nettsiden du ender opp på virker å være ekte og ikke manipulert, sier Wilkens.
3. QR-koder brukt for å forbigå filtre
Ved at QR-kodene i praksis er et bilde gjør at de ikke blir fanget opp av forskjellige brannmurer, spamfiltre og andre tradisjonelle «forsvarsmurer» både private og bedrifter måtte ha satt opp – slik vanlige nettadresser gjerne blir.
– Ved å sende en QR-kode i en e-post, kan en angriper også flytte kommunikasjonen over på mobilen. Dette kan for eksempel skje ved at brukeren blir bedt om å scanne en falsk kode for å åpne en konto, bekrefte med tofaktorautentisering eller lignende, sier Wilkens.
Målet med dette er ofte å få folk vekk fra bedriftsnettet, som gjerne er godt beskyttet av logging og filtrering av URL- og DNS-adresser.
– Men vi hadde faktisk et tilfelle der en ansatt hos en bedrift scannet en QR-kode på mobilen – der all videre kommunikasjon ble stoppet av Nettvern, siden vedkommende hadde et privat mobilabonnement fra Telenor. Så dette kan gå begge veier, sier Wilkens.
Utover tipsene over, råder Wilkens alle til å ikke laste ned alle mulige tredjepartsapper for å scanne QR-koder.
– Disse er notoriske for å kreve penger, overvåke brukeren og så videre. Alle mobiler skal ha innebygget støtte for å scanne QR-koder nå, så bruk denne, sier Wilkens.
For å scanne en QR-kode, er det altså bare å åpne kamera-appen på mobilen, rette kameraet mot QR-koden – og trykke på lenken som da dukker opp på skjermen.
Husk bare å sjekke nettadressen i nettleseren før du legger igjen noe privat informasjon!
