Keeawayt
- QR-koodit ovat yhtä vaarallisia kuin sähköpostien haitalliset linkit.
- Nämä koodit sisältävät linkkejä, jotka voivat avata sovelluksia, aloittaa puheluita, jakaa sijaintisi ja paljon muuta.
- Suojaa itsesi välttämällä QR-koodeja ja käyttämällä linkkiä sen sijaan.
Sen sijaan, että poimimme likaisen ravintolamenun paljain käsin, olemme tottuneet QR-koodien hygieniaan. Mutta ne voivat olla hieman likaisempia ja paljon vaarallisempia kuin luulet.
Vuonna 2015 saksalainen ketsuppin ystävä skannasi Heinz-pullonsa QR-koodin ja hänet lähetettiin suoraan pornosivustolle. Se voi olla noloa, mutta QR-koodien sokealla skannauksella on pahemmat seuraukset. Salasanojen hallintapalvelun 1Password mukaan QR-koodit voivat laukaista puheluita, pettää sijaintisi, aloittaa puhelun, joka paljastaa soittajan tunnuksesi ja paljon muuta. Joten mitä voimme tehdä asialle?
"Olemme kaikki valmiita skannaamaan QR-koodia valikon selaamiseksi tai jopa laskujen maksamiseksi, ja verkkorikolliset hyötyvät nyt tästä haitallisten QR-koodien avulla", Craig Lurey, kyberturvallisuuden asiantuntija ja yhteistyökumppani -Keeper Securityn perustaja, kertoi Lifewirelle sähköpostitse. "Joten mikä saattaa näyttää koodilta pysäköintimittarin maksamiseen, ja sivusto näyttää uskomattoman lailliselta, syötät luottokorttitietosi suoraan varkaan tietokantaan."
Huonot linkit
QR-koodi on vain linkki, joka voidaan lukea puhelimesi kameralla ja purkaa sen jälkeen. Meidät kaikki on koulutettu olemaan koskaan klikkaamatta sähköpostissa olevaa linkkiä, vaikka se näyttäisikin lailliselta. Mutta QR-koodilinkit ovat yhtä vaarallisia, ja niissä on lisäongelma, että et näe minne ne johtavat ennen kuin skannaat ne.
Kun ajattelemme linkkejä, ajattelemme URL-osoitteita, jotka vievät meidät verkkosivustoille. Ja Heinzin ketsuppipornohakkeroinnin tapauksessa se oli ongelma - Heinz antoi verkkotunnuksen raueta, ja joku muu osti sen ja latasi sen sitten likaisilla kuvilla. URL-osoitteet ovat vaarallisia, kuten Lureyn pysäköintimittarien tietojenkalasteluhuijaus osoittaa, mutta linkit voivat tehdä paljon enemmän.
"Yksi suurimmista ongelmista on, että toisin kuin verkkosivustoilla, QR-linkit lyhennetyille URL-osoitteille tunnistavat harvoin yrityksen nimeä", Monti Knode, USAF:n 67. kyberavaruusoperaatioryhmän entinen komentaja, kertoi Lifewirelle sähköpostitse. "Ihminen napsauttaa sitä ja olettaa, että se tarjoaa ravintolamenun, konferenssin esityslistan tai jopa hyväntekeväisyyslinkin, ja se voi hyvinkin olla huijaussivusto tai haitallinen linkki, joka lataa koodin tietokoneellesi tai mobiililaitteellesi."
Puhelimessamme linkit voivat käynnistää sovelluksia. Google Maps -linkki avautuu esimerkiksi karttasovelluksessa. Linkit voivat myös käynnistää puheluita, lisätä yhteystietoja osoitekirjaasi (ja siten saada tulevat puhelut ja sähköpostit näyttämään laillisilta), ne voivat jakaa sijaintisi ja paljon muuta.
Yksi nerokas huijaus tarkoittaa sitä, että olemassa olevaa laillista QR-koodia muutetaan ja käytetään sitä uhrien uudelleenohjaamiseen. Mainostaja Robert Barrows jakoi tarinan Video Enhanced Gravemarkeristaan.
"Ymmärsin, että hautakivien QR-koodeissa voi olla useita ongelmia", Barrows kertoi Lifewirelle sähköpostitse. "Mitä tapahtuu, jos QR-koodin muste heikkenee ajan myötä? Päätätkö linkin täysin eri verkkosivustolle? Mitä tapahtuu, jos joku muuttaa QR-koodin merkillä?"
Sama asia voi tapahtua mainosjulisteiden, valikoiden tai minkä tahansa QR-koodin kanssa.
Suojele itseäsi
Ensimmäinen vaihe itsesi suojelemisessa on olla tietoinen. Älä koskaan skannaa QR-koodia, ellet ole varma sen turvallisuudesta. Mikä todella tarkoittaa, että älä koskaan skannaa QR-koodia.
Mutta jos sinun täytyy skannata kirjautuaksesi sisään ravintolaan tai baariin tai tarkastellaksesi ruokalistaa, varmista ensin, että koodia ei ole peukaloitu tai peitetty toisen QR-koodin tarralla. Yksi vinkki on kytkeä automaattinen QR-koodin skannaus pois päältä puhelimen asetuksista, jos mahdollista. Mutta todella, paras suoja on olla varovainen.
"Kun mahdollista, aivan kuten mahdollisten tietojenkalastelulinkkien kanssa, suosittelemme menemään suoraan palveluntarjoajan verkkosivustolle hakemaan etsimäsi tiedot", Dave Cundiff, kyberturvallisuusyhtiö Cyvatarin CISO, kertoi Lifewirelle sähköpostitse. "Useimmissa tapauksissa tiedot ovat web-isännöityjä ja ne ovat käytettävissä suoraan palveluntarjoajan verkkosivustolla jossain."
Jos linkki ei ole saatavilla, älä skannaa sitä. Se on paljon vähemmän kätevää, mutta ei niin hankalaa kuin puhuminen päivien tai viikkojen aikana haitallisen linkin seurauksista.