Handelns ansvar minska risken för hackade QR-koder
QR-koden utvecklades i Japan på 1990-talet för att kunna spåra komponenter i fordonsproduktion och den kom till Sverige redan 2011. Men det var först i samband med lanseringen av Apples operativsystem iOS 11, år 2017, som det slog igenom brett. Då kunde Iphones egen kamera skanna QR-koder och en separat app behövdes inte längre. ”QR” står för ”Quick Response” och information som lagras i koden kan läsas snabbt med en mobiltelefon. Idag används QR-koder för en rad olika ändamål som att lagra webbadresser, kontaktuppgifter, betalningsinformation och meddelanden som kan innehålla upp till 4 000 tecken.
Det är enkelhet som gör att QR-koder idag är så populärt, både av företag och myndigheter, men det gör dem också sårbara. Faktum är att QR-koder har börjat användas av organiserade och internationella, kriminella ligor som ägnar sig åt hackning.
Denna nya form av cyberangrepp använder QR-koder för att lura användare till falska hemsidor där de ombeds att lämna ifrån sig känsliga uppgifter som lösenord och kreditkortsinformation. Det kallas för “quishing” och kommer från engelskans “phishing”, eller nätfiske.
Hur går quishing till?
Angripare skapar QR-koder som, när de skannas av en smartphone, leder användare till skadliga, falska webbplatser eller initierar åtgärder som komprometterar deras säkerhet. QR-koden kan distribueras genom olika kanaler, såsom e-post, sociala medier eller fysiska utskrifter och klistermärken. I vissa fall kan skanning av en skadlig QR-kod även utlösa nedladdning och installation av skadlig kod på användarens enhet, vilket komprometterar dess säkerhet och potentiellt leder till ytterligare attacker i leverantörskedjor.
Angriparna använder ofta social manipulation för att locka användare att skanna QR-koden, till exempel genom att lova rabatter, priser eller exklusivt innehåll och låtsas som att man är ett välbekant och betrodd varumärke som avsändare.
För att skydda mot quishing-attacker bör företag inom svensk handel, branschorganisationer och myndigheter som använder sig av QR-koder även utbilda sina kunder och användare hur de kan skydda sig. Här är några enkla tips:
- Skanna endast QR-koder från betrodda källor.
- Verifiera legitimiteten hos webbplatsen eller tjänsten innan du anger någon känslig information.
- Var försiktig med QR-koder som mottagits via e-postmeddelanden, meddelanden eller annonser.
- Slå på flerfaktorsautentisering på dina konton och installera en hårdvarubaserad säkerhetsnyckel, som blockerar phishing och quishing.
Men företag inom handeln behöver också granska sina egna rutiner för hur man använder QR-koder i sin marknadsföring eller interaktion med kunder. Om en hackare skulle få för sig att skicka ut falska QR-koder till företagets kunder och utge sig för att vara ert företag, då kan det potentiellt skada företagets rykte och förtroende hos kunderna.
Genom att se över och implementera säkra rutiner för användning av QR-koder kan företag bidra till att minska risken för att kunderna blir offer för quishing-attacker. Med tanke på att den vanligaste förekommande taktiken för cyberangrepp är phishing genom e-post, eller QR-koder som ofta kommer genom e-post, så bör alla företag och organisationer implementera stark och säker inloggning till sina IT-system såsom en hårdvarubaserad säkerhetsnyckel, som stoppar dessa attacker.
För att upprätthålla en god IT-säkerhetshygien är det avgörande för företag inom handeln att granska och uppdatera sina egna rutiner för användning av QR-koder och motverka quishing genom att ge information om riskerna även till sina kunder.
Per Erngård, manager solutions engineer EMEA på cybersäkerhetsbolaget Yubico
Artikeln är en del av vårt tema om Debatt.