Key takeaways
- QR-koder er lige så farlige som ondsindede links i e-mails.
- Disse koder indeholder links, der kan åbne apps, starte telefonopkald, dele din placering og meget mere.
- Beskyt dig selv ved at undgå QR-koder og brug et link i stedet.
I stedet for at hente en beskidt restaurantmenu med vores bare hænder, har vi vænnet os til hygiejnen med QR-koder. Men de kan være lidt mere beskidte og meget farligere, end du måske tror.
I 2015 scannede en tysk ketchup-elsker QR-koden på deres flaske Heinz og blev sendt direkte til et pornowebsted. Det kunne være pinligt, men der er værre konsekvenser ved blindt at scanne QR-koder. Ifølge adgangskodehåndteringstjenesten 1Password kan QR-koder udløse telefonopkald, forråde din placering, starte et telefonopkald, der afslører dit opkalds-id og meget mere. Så hvad kan vi gøre ved det?
"Vi er alle blevet betinget af at scanne en QR-kode for at gennemse en menu eller endda betale vores regninger, og cyberkriminelle udnytter nu dette ved at bruge ondsindede QR-koder," Craig Lurey, cybersikkerhedsekspert og co. -grundlægger af Keeper Security, fort alte Lifewire via e-mail. "Så hvad der kan ligne en kode til at betale for en parkeringsmåler, og siden vil se utroligt legitim ud, så indtaster du faktisk dine kreditkortoplysninger direkte i en tyvs database."
Dårlige links
En QR-kode er blot en genvej til et link, der kan læses af din telefons kamera og derefter afkodes. Vi er alle blevet trænet til aldrig at klikke på et link i en e-mail, selvom det ser lovligt ud. Men QR-kodelinks er lige så farlige og har det ekstra problem, at du ikke kan se, hvor de fører hen, før du scanner dem.
Når vi tænker på links, tænker vi på URL'er, der fører os til websteder. Og i tilfældet med Heinz ketchup porno hack, det var problemet - Heinz lod domænenavnet udløbe, og en anden købte det og indlæste det med beskidte billeder. Webadresser er farlige, som Lureys parkeringsmåler-phishing-svindel illustrerer, men links kan meget mere.
"Et af de største problemer er, at i modsætning til websteder identificerer QR-links til forkortede URL'er sjældent virksomhedsnavnet," fort alte Monti Knode, tidligere chef for USAF 67th Cyberspace Operations Group, til Lifewire via e-mail. "En person klikker på det og antager, at det vil give en restaurantmenu, konferencedagsorden eller endda et velgørenhedslink, og det kan meget vel være et forfalsket websted eller et ondsindet link, der downloader kode til din computer eller mobilenhed."
På vores telefoner kan links udløse apps. Et Google Maps-link åbner f.eks. i kortappen. Links kan også udløse telefonopkald, tilføje kontakter til din adressebog (og derfor få fremtidige opkald og e-mails til at se ud til at være legitime), de kan dele din placering og mere.
Et geni alt fupnummer involverer en aldrig-gør-godt at ændre en eksisterende, legitim QR-kode og bruge den til at omdirigere ofre. Annoncør Robert Barrows delte en historie om sin Video Enhanced Gravemarker.
"Jeg indså, at der kunne være flere problemer med QR-koder på gravsten," fort alte Barrows til Lifewire via e-mail. "Hvad sker der, hvis blækket på QR-koden falder over tid? Vil du ende med at linke til et helt andet websted? Hvad sker der, hvis nogen ændrer QR-koden med en markør?"
Det samme kunne ske med reklameplakater, menuer eller enhver QR-kode.
Beskyttelse af dig selv
Trin et i at beskytte dig selv er at være opmærksom. Scan aldrig en QR-kode, medmindre du er sikker på, at den er sikker. Hvilket virkelig betyder, aldrig scan en QR-kode.
Men hvis du skal scanne for at tjekke ind på en restaurant eller bar eller se en menu, skal du først sikre dig, at koden ikke er blevet pillet ved eller dækket med et klistermærke med en anden QR-kode. Et tip er at slå automatisk QR-kodescanning fra i telefonens indstillinger, hvis det er muligt. Men egentlig er den bedste beskyttelse at være forsigtig.
"Når det er muligt, ligesom med potentielle phishing-links, er anbefalingerne at gå direkte til udbyderens hjemmeside for at hente de oplysninger, du leder efter," fort alte Dave Cundiff, CISO for cybersikkerhedsfirmaet Cyvatar, til Lifewire via e-mail. "I de fleste tilfælde er oplysningerne webhostet og tilgængelige direkte på udbyderens websted et eller andet sted."
Hvis linket ikke er tilgængeligt, skal du ikke scanne det. Det er langt mindre bekvemt, men ikke så ubelejligt som at tale dage eller uger med at håndtere udfaldet af et ondsindet link.