QR-koder tok av som en kontaktløs måte å bestille mat og betale under pandemien, og har også blitt brukt i reklamer og arrangementsbilletter en god stund.
Og nå har QR-koder også blitt veldig populære blant hackere og svindlere.
Husker du hvordan du holder opp telefonen mot skjermen, og skanner en QR-kode for å aktivere tofaktorautentisering på brukerkontoen din?
Å sette opp tofaktorautentisering på en ny enhet eller konto er sannsynligvis ikke noe du gjør hver eneste dag.
Men du skjønte sikkert at handlingen var veldig viktig den gangen du gjorde det.
Og svindlere vet veldig godt hvordan de skal dra nytte av begge disse faktum.
Falske Authenticator-koder med QR
Hva om du mottok en e-post fra virksomhetens IT-ansatte, som fortalte deg om et sikkerhetsvarsel tilknyttet brukerkontoen din? «Skann QR-koden for å motta obligatoriske sikkerhetsoppdateringer for Authenticator-appen din.»
Å skanne QR-koden kan virke tryggere enn å klikke på en vanlig phishing-lenke, siden det ikke finnes noen åpenbart mistenkelig lenke synlig her.
Samtidig er QR-koden i virkeligheten også en lenke. Det pikselerte QR-mønsteret er egentlig bare en representasjon av tekst i et visuelt format, som er lett for maskiner å lese.
QR-koden kan derfor ta deg til et hvilket som helst nettsted valgt av svindleren, for eksempel et falskt Office 365-påloggingsnettsted, som i eksempelet over.
Og her vil det naturlige neste steget være å logge inn med brukernavn og passord, før du angivelig oppdaterer sikkerhetsinformasjon på brukerkontoen din.
Bortsett fra at det nå sitter en hacker på andre siden som nå er i stand til å stjele påloggingsinformasjonen din.
Sikkerhetsdeteksjon kan omgås
På samme måte som mennesker og virksomheter forbedrer seg til å oppdage og gjenkjenne de klassiske phishing-forsøkene, forbedrer og endrer de ondsinnede aktørene også angrepsmetodene.
Falske oppdateringer om tofaktorautentisering er ikke den eneste trenden vi ser for øyeblikket. QR-koder erstatter nå stadig oftere koblinger du er vant til å finne i tradisjonelle phishing-forsøk.
For eksempel kan noe som heter "Employee benefit eligibility enrollment" finnes via QR-kodeeksemplet nedenfor, åpenbart noe som mange kan finne spennende å sjekke ut:
(Vær oppmerksom på at vi har forvridd QR-kodeeksempler i skjermbildene her, slik at lesere av denne artikkelen ikke faktisk havner på farlige nettsteder.)
Det som virkelig er smart gjort av hackere her, er at når du fortsetter via lenker som disse via mobiltelefonen din, er det mindre sannsynlig at du blir beskyttet av både deteksjon på enheten din og virksomhetens nettverksovervåking.
Spamfiltre som vanligvis kan identifisere farlige e-poster før de leveres til innboksen din, skanner vanligvis ikke lenker som presenteres for brukere som QR-koder.
I tillegg er antivirus og VPN sikkerhetsfunksjoner som hovedsakelig brukes med bærbare datamaskiner, og er mindre vanlig å se på (delvis) private / personlige enheter i mobilnettverket.
Siden denne typen angrep vil omgå mange automatiske sikkerhetsfunksjoner, vil du i større grad kunne oppleve situasjoner hvor du må tenke kritisk selv.
I praksis kan hvem som helst lage QR-koder, og disse kan altså være enda farligere med et lite snev av sosial manipulasjon i tillegg.
Heldigvis, siden du leser dette, er du kanskje allerede kjent med MailRisk-knappen vår i Outlook, som alltid kan fortelle deg om en e-post i innboksen din kan stole på eller ikke – uavhengig av QR-koder eller tradisjonelle lenker.
Du kan komme over begrepet «quishing»...
Siden QR-koder for phishing stadig øker i popularitet, er sikkerhetsfagfolk ivrige etter å finne et nytt ord for å beskrive det nye fenomenet.
Du kan derfor støte borti begrepet "quishing", som er en forkortelse for "QR-phishing".
Ordet quishing i seg selv har imidlertid ingen mening, og du bør ikke bli overrasket over å høre at folk som ikke har lest denne artikkelen til slutt, heller ikke skjønner hva dette betyr.
Å gjøre sikkerhet vanskelig ved å bruke vanskelige ord gjør det bare vanskeligere for folk å ha selvtillit overfor sikkerhetsbeslutninger som hvorvidt de skal gå videre med en angivelig «obligatorisk sikkerhetsoppdatering av autentiseringsappen».
For vår egen del vil vi kalle det QR-kode phishing (eller phishing med QR-koder), og gjøre det mer åpenbart for alle hva vi faktisk snakker om.
Akkurat som vi foretrekker å kalle phishing via telefon (ikke «vishing»), og phishing via SMS (ikke «smishing») etter hva disse faktisk er.
Vi kan bare forestille oss hva som kommer neste gang.
(Åpne kameraappen på telefonen din, og skann QR-koden for å finne ut av det 😇)
