Key takeaways
- QR-koder är lika farliga som skadliga länkar i e-postmeddelanden.
- Dessa koder innehåller länkar som kan öppna appar, starta telefonsamtal, dela din plats med mera.
- Skydda dig själv genom att undvika QR-koder och använd en länk istället.
Istället för att plocka upp en smutsig restaurangmeny med bara händer, har vi vant oss vid hygienen med QR-koder. Men de kan vara lite smutsigare och mycket farligare än du kanske tror.
Under 2015 skannade en tysk ketchupälskare QR-koden på sin flaska Heinz och skickades direkt till en porrsajt. Det kan vara pinsamt, men det finns värre konsekvenser för att blint skanna QR-koder. Enligt lösenordshanterarens tjänst 1Password kan QR-koder utlösa telefonsamtal, förråda din plats, starta ett telefonsamtal som avslöjar ditt nummerpresentation och mer. Så vad kan vi göra åt det?
"Vi har alla blivit betingade av att skanna en QR-kod för att bläddra i en meny eller till och med betala våra räkningar, och cyberbrottslingar drar nytta av detta genom att använda skadliga QR-koder," Craig Lurey, cybersäkerhetsexpert och co. -grundare av Keeper Security, berättade för Lifewire via e-post. "Så vad som kan se ut som en kod för att betala för en parkeringsmätare, och sajten kommer att se otroligt legitim ut, du anger faktiskt dina kreditkortsuppgifter direkt i en tjuvs databas."
Dåliga länkar
En QR-kod är bara en genväg till en länk som kan läsas av telefonens kamera och sedan avkodas. Vi har alla blivit tränade att aldrig klicka på en länk i ett e-postmeddelande, även om det ser legitimt ut. Men QR-kodlänkar är lika farliga och har det extra problemet att du inte kan se vart de leder förrän du skannar dem.
När vi tänker på länkar tänker vi på webbadresser som tar oss till webbplatser. Och i fallet med Heinz ketchup porr hack, det var problemet-Heinz lät domännamnet förfalla, och någon annan köpte det, sedan laddade det med smutsiga bilder. Webbadresser är farliga, som Lureys parkeringsmätare nätfiske illustrerar, men länkar kan göra mycket mer.
"Ett av de största problemen är att, till skillnad från webbplatser, QR-länkar till förkortade webbadresser sällan identifierar företagsnamnet", sa Monti Knode, tidigare befälhavare för USAF 67th Cyberspace Operations Group, till Lifewire via e-post. "En person klickar på den och antar att den kommer att tillhandahålla en restaurangmeny, konferensagenda eller till och med en välgörenhetslänk, och det kan mycket väl vara en falsk sida eller en skadlig länk som laddar ner kod till din dator eller mobila enhet."
På våra telefoner kan länkar utlösa appar. En Google Maps-länk öppnas till exempel i kartappen. Länkar kan också utlösa telefonsamtal, lägga till kontakter i din adressbok (och därför göra att framtida samtal och e-postmeddelanden verkar vara legitima), de kan dela din plats och mer.
En genialisk bedrägeri innebär att det inte går bra att ändra en befintlig, legitim QR-kod och använda den för att omdirigera offer. Annonsören Robert Barrows delade en berättelse om sin Video Enhanced Gravemarker.
"Jag insåg att det kunde finnas flera problem med QR-koder på gravstenar", sa Barrows till Lifewire via e-post. "Vad händer om bläcket på QR-koden försvinner med tiden? Kommer du att sluta länka till en helt annan webbplats? Vad händer om någon ändrar QR-koden med en markör?"
Samma sak kan hända med reklamaffischer, menyer eller vilken QR-kod som helst.
Protecting Yourself
Steg ett i att skydda dig själv är att vara medveten. Skanna aldrig en QR-kod om du inte är säker på att den är säker. Vilket verkligen betyder, aldrig skanna en QR-kod någonsin.
Men om du måste skanna för att checka in på en restaurang eller bar eller se en meny, se först till att koden inte har manipulerats eller täckts med en klistermärke med en annan QR-kod. Ett tips är att stänga av automatisk QR-kodskanning i telefonens inställningar om möjligt. Men egentligen är det bästa skyddet att vara försiktig.
"När det är möjligt, precis som med potentiella nätfiske-länkar, är rekommendationerna att gå direkt till leverantörens webbplats för att hämta den information du letar efter", sa Dave Cundiff, CISO för cybersäkerhetsföretaget Cyvatar, till Lifewire via e-post. "I de flesta fall är informationen webbhotell och tillgänglig direkt på leverantörens webbplats någonstans."
Om länken inte är tillgänglig, skanna den inte. Det är mycket mindre bekvämt men inte lika obekvämt som att tala dagar eller veckor att hantera nedfallet av en skadlig länk.