Falska QR-koder – fotbollsfans varnas
QR-koder gör det enkelt för företag att marknadsföra sig utan att kunder ska behöva ange rabattkoder, adresser till hemsidor eller annan information manuellt. Allt en potentiell kund behöver göra är att skanna koden och så omdirigeras de automatiskt till rätt tjänst där eventuella förmåner (som rabattkoder) applicerats automatiskt.
QR-koder är inte farliga i sig – de används ju till exempel för att genomföra säkra inloggning till till exempel banker och myndigheters e-tjänster – men i fel händer kan de användas som medel för att genomföra bedrägerier. Det är just detta som på senare tid har drabbat fotbollsvärlden.
Nytt bedrägeri med QR-koder
Om du redan vet vad nätfiske (phishing) är, så vet du att dessa falska QR-koder knappast utgör en ny form av bedrägeri. Allt som har förändrats är bedragarnas tillvägagångssätt och verktyg. Det rör sig fortfarande om gammalt hederligt nätfiske – i det här fallet “quishing” (som många har börjat kalla det).
QR-koder är lockande för konsumenter eftersom de erbjuder ett smidigt sätt att genomföra betalningar. De gör det enklare att betala för parkering, köpa merchandise eller att delta i diverse betting/tävlingar under matchdagen. Allt man behöver göra är att skanna en bild. Ingen manuell input krävs. Logistiken hanteras automatiskt.
Bedragare sätter inte upp QR-koder varsomhelst. De väljer platser där folk har en tendens att antingen vara stressade eller inte tänka till en extra gång innan de skannar. Fotbollsmatcher, där dessutom alkohol ofta är inblandat, är därför utmärkta måltavlor.
Brottslingarna förbereder bedrägeriet genom att gå runt och placera ut sina skadliga QR-koder över befintliga QR-koder som redan finns utsatta för diverse legitima ändamål. På så sätt väcks misstankar först efter att någon (eller några) har nappat. Eftersom ingen otränad individ kan läsa QR-koder utan speciella verktyg, är de också svåra att upptäcka i förväg. Varje QR-kod är den andra lik för blotta ögat.
QR-koder är inte skadliga i sig, men de kan omdirigera användaren till skadliga webbplatser. I vissa fall kan hemsidorna efterlikna legitima hemsidor i syfte att få offret att ange känslig information som person- eller betalningsuppgifter.
Fotbollsfans är särskilt utsatta
Fotbollsfans är särskilt utsatta eftersom effektiviteten av denna typ av bedrägeri gynnas av stora evenemang. Stora folkmassor innebär bland annat fler potentiella offer, men individer som deltar i dessa evenemang är också mer benägna att köpa saker. Som fotbollssupporter förväntar man sig redan att lägga pengar på diverse saker under en match, vilket ökar effektiviteten av dessa bedrägerier.
Fansen rör sig snabbt, måste handskas med irriterande logistik som de helst vill få ur vägen så snabbt som möjligt. De kommer sannolikt inte att granska varje QR-kod noggrant.
Ett fotbollsevenemangs livliga tryck skapar utmärkta förutsättningar för bedragare. Ett och annat falskt klistermärke kommer att kunna smyga sig förbi mycket enkelt. Det krävs ingen vidare finess från brottslingarnas sida. Allt de behöver göra är att printa ut en någorlunda välkonstruerad förfalskning. Och som sagt, QR-koder ser ju redan identiska ut.
Ett större samhällsproblem
Det är inte bara fotbollsfans som utsätts för falska QR-koder. På senare år har det blivit ett utbrett problem i samhället. Bedragare sätter upp skadliga QR-koder lite varstans. De är mycket enkla att sätta dit oupptäckt, svåra att spåra och ofta tar det ett tag att upptäcka dem. Kaféer, restauranger, butiker och, som sagt, parkeringsautomater, är vanliga mål. Brottslingar kan lätt smyga dit sin egen QR-kod och placera den över befintliga koder.
För dig som är egenföretagare eller anställd på en verksamhet som använder QR-koder rekommenderar vi att du regelbundet kontrollerar dem. Om kameraövervakning finns bör den täcka QR-koden.
Traditionella varianter av nätfiske lyckas sällan att ta sig förbi moderna spamfilter. I dagsläget har vi relativt stark cybersäkerhet, men eftersom QR-koder är fysiska går det inte att motverka kontakt med dem enbart genom att använda välutvecklade digitala hjälpmedel. QR-koder är definitivt någonting som ingår i IT-säkerhet, men de befinner sig i det svårhanterliga gränslandet mellan det digitala och det fysiska.
Digitala verktyg kan dock vara till stor hjälp. När koden väl har skannats har den transporterats in i den digitala världen. Här kan rätt verktyg blockera skadliga hemsidor, förhindra användare från att ange känslig information och varna om QR-koden saknar validitet.
Så kan tekniska hjälpmedel skydda
Genom att använda rätt webbläsare och externa skydd på sin enhet kan man motverka hot trots att man råkar skanna en skadlig QR-kod. Virtuella privata nätverk (VPN) är ett exempel på tjänster som erbjuder ett mer heltäckande skydd. Genom att använda VPN tillsammans med ett aggressivt antivirusskydd och en modern webbläsare kommer skadliga hemsidor att blockeras. Se också till så att all programvara uppdateras regelbundet.
Digitala skyddsmedel räcker visserligen långt, men de kommer inte att kunna stoppa dig från att stå på torget och skrika ditt personnummer, så man måste fortfarande förlita sig på sitt eget sunda förnuft. Många applikationer som skannar QR-koder har en förhandsvisning som tydligt visar länken (eller textinnhållet) som QR-koden representerar. Var speciellt vaksam när det kommer till stavfel eller om QR-koden leder till konstiga domännamn.
Lämpliga åtgärder om man har blivit utsatt för bedrägeri
Om du misstänker att du har skannat en skadlig QR-kod bör du avbryta interaktionen omedelbart. Stäng sidan, sätt på flygplansläge och rensa webbläsaren (ominstallera appen eller rensa dess minne via inställningarna).
Om du har laddat ned filer bör du radera dem och skanna enheten med installerat antivirusprogram. Om du har angett användarnamn och lösenord bör du omedelbart byta dem på alla tjänster där de används. Om betalningsuppgifter eller känslig personlig information läckts kan det också vara lämpligt att ta ärendet till polisen eller att informera din bank. Se också till att informera ansvariga om att QR-koden är skadlig och be dem att ta ned den. I vissa fall kan det också vara lägligt att ta ned den själv.