QR-koder:Er det sikkert at scanne?

Coinbase Super Bowl-reklamen, der indeholdt en hoppende QR-kode sat til musik, var så populær, at den fik cryptocurrency-appen til midlertidigt at gå ned. Hvad fortæller dette os om, hvordan disse koder bliver brugt, og hvor sikkert det er at scanne? Wake Forest Computer Science Professor Sarra Alqahtani besvarer spørgsmål om QR-koder, cyberkriminalitet og hvordan man holder dine personlige oplysninger sikre.

Hvad var din reaktion på Coinbase-reklamen som datalogiprofessor, der studerede cybersikkerhed?

Det var en sjov reklame at se, men jeg begyndte straks at tænke på, hvor normaliseret denne teknologi bliver uden en tilsvarende bevidsthed om dens sikkerhedsproblemer. Som med enhver ny teknologi kommer sikkerhed normalt som en eftertanke, ikke kun for udviklerne, men også for brugerne. Jeg håber på en indsats for at oplyse folk om sikkerhedsproblemer med QR-koder, og hvordan de beskytter deres privatliv.

Hvor sandsynligt er det, at private oplysninger kan blive kompromitteret ved at scanne en QR-kode?

QR-koden kan erstattes af en ondsindet (den enkleste måde er ved fysisk at indsætte en kode oven på en anden), hvilket kan føre brugeren til en falsk hjemmeside, der ligner den originale hjemmeside. Hackeren kan derefter plante en lille software (malware) i brugerens telefon for at spore og indsamle deres data.

Hvad gør hackere med de oplysninger, de stjæler?

De kan stjæle de brugernavne og adgangskoder, vi bruger i forskellige apps og websteder, og sælge dem på det mørke web. Disse data kan bruges til at gætte bruger/medarbejders legitimationsoplysninger under andre angreb – som det der skete i Colonial Pipeline ransomware-angrebet.

Er der en måde at vide, om en QR-kode er sikker?

Vi kan ikke genkende nogen forskel mellem de legitime og ondsindede koder med vores øjne, men når vi scanner koden, skal vi være opmærksomme på webstedslinket, før vi klikker på det. Derfor anbefales det at inkludere hjemmesidelinket med koden, når du deler den offentligt.

Hvad skal vi se efter, når vi tjekker en webadresse, før vi klikker?

Hvis der er en sikkerhedsrisiko, vil URL'en ligne den originale URL, men med små ændringer. For eksempel, i stedet for www.yahoo.com, kan hackeren bruge yaho0.com, som ligner meget. Denne form for trick falder ind under phishing-angreb, som har en lang historie inden for cybersikkerhed.

Hvad er dit bedste råd til at beskytte personlige oplysninger, når du bruger QR-koder?

Jeg anbefaler ikke at scanne QR-koderne så meget som muligt og bruge papirmanualer og menuer. Jeg anbefaler også at bruge de indbyggede kameraer i smartphones i stedet for at bruge tredjepartsapps, da de indbyggede kameraer viser webstedslinket og beder brugeren om at klikke på det, hvilket normalt ikke er tilfældet med tredjepartsapps.

Hvis du har mistanke om, at du har klikket på et falsk websted, og malware er blevet installeret, hvad skal du så gøre?

Det afhænger af den telefon, du bruger, men generelt bør du rydde din browsercache, sikkerhedskopiere dine filer, ændre dine legitimationsoplysninger. Hvis din telefon ikke har indbygget beskyttelse, skal du bruge software til at opdage og fjerne malware.

Har du en bog eller ressource, du kan anbefale til dem, der vil vide mere om QR-koder?

Læs FBI's public service-meddelelse, "Cyberkriminelle manipulerer med QR-koder for at stjæle offermidler."