Qr-codes zijn overal. We gebruiken ze om websites te openen, apps te downloaden, loyaliteitspunten te verzamelen, betalingen te doen en geld over te maken. De technologie is handig, met als gevolg dat ook cybercriminelen graag gebruikmaken van de technologie.
Een trend is dat cybercriminelen qr-codes aanmaken. Door deze verspreiden, kunnen cybercriminelen hun slachtoffers doorverwijzen naar dubieuze websites of applicaties. Op deze manier proberen ze gevoelige gegevens te bemachtigen, malware op je telefoon te installeren of je over te halen een betaling te doen. Cybercriminelen zullen je dus eerst moeten overhalen om de kwaadaardige qr-code te scannen en erop te klikken of te tikken. Er worden hier allerlei tactieken voor gebruikt.
Reputatie van legitieme partijen
Vaak misbruiken cybercriminelen het werk en de reputatie van legitieme partijen. Cybercriminelen doen dit bijvoorbeeld door een qr-code op een poster of menukaart te vervangen door een kwaadaardige code. Zodra een gebruiker de code scant en vervolgens op de url klikt, komt hij of zij terecht op een phishing-site die veel weg heeft van een inlogpagina van een sociaal netwerk of online-bank. Op deze manier ontfutselen ze gevoelige informatie, zoals wachtwoorden of bankgegevens. Vaak plaatsen ze ook banners met een kwaadaardige qr-code of versturen ze mails die verwijzen naar een kwaadaardige qr-code.
Cybercriminelen laten qr-codes soms bepaalde acties uitvoeren. Zodra een slachtoffer de code scant, belt hij of zij automatisch een telefoonnummer tegen betaling. Een andere tactiek is de babbeltruc. De gedupeerden worden op straat aangesproken en gevraagd om via een qr-code geld over te maken voor de parkeerautomaat, omdat de cybercriminelen zelf alleen cash bij zich hebben. Om het geld over te maken, moet het slachtoffer even een code scannen. Vervolgens beland de gedupeerde op een nepsite met een inlogprocedure. De oplichter heeft vervolgens toegang tot de bankrekening van het slachtoffer, met alle gevolgen van dien.
Eindeloos
De mogelijkheden zijn eindeloos voor cybercriminelen. Kwaadaardige qr-codes worden aangetroffen op rekeningen, pamfletten, in presentaties en vrijwel overal waar je informatie of instructies kunt verwachten. Wat kun je doen om te voorkomen dat je per ongeluk een kwaadaardige code scant?
Ten eerste is zaak om goed te letten op de link die verschijnt na het scannen van de code. Als je met een smartphone de camera op de qr-code richt, zal de telefoon voorstellen de url te openen, vervolgens kun je de url controleren. Ziet deze er vreemd uit, klik dan niet op de link. Soms is de url ingekort, wees dan extra voorzichtig want met qr-codes is er geen reden om een url in te korten. Gebruik in plaats daarvan een zoekmachine of ga zelf naar de officiële winkel of het online-adres. Indien een code op een poster staat, is het verstandig een snelle ‘fysieke’ controle uit te voeren. Het kan namelijk voorkomen dat een kwaadaardige code over de originele code is geplakt.
Speciale scanner
Als je er zeker van wilt zijn dat de qr-code veilig is, doe je er verstandig aan om een speciale scanner te gebruiken die de code controleert op schadelijke inhoud en valse (phishing)websites. Daarnaast vormt alertheid nog altijd het beste wapen om je te beschermen tegen cybercriminelen. Als iemand je op straat vraagt een qr-code wilt scannen, dan kan dit potentieel gevaarlijk zijn. Oplichters zijn goed in het misbruiken van behulpzame mensen. Ze doen vaak alsof ze haast hebben, waardoor je geen tijd hebt om na te denken. Voel je daarom niet schuldig om gewoon weg te lopen als je het niet vertrouwt. Ook als je twijfelt aan de authenticiteit van een qr-code op een folder, is het over het algemeen verstandiger om de code niet te scannen. Het is misschien langzamer, maar je kunt altijd handmatig naar de website gaan voor meer informatie.
Mocht je nu toch slachtoffer zijn geworden, doe dan altijd aangifte bij de politie. Dit kan eenvoudig online via het meldpunt voor internet fraude (BE) of de Fraudehelpdesk (NL). Vaak doen slachtoffers dit niet. Maar met het bewijsmateriaal kunnen de politiediensten onderzoek doen naar de daders. Alle aangiftes samen geven inzicht in hoe cybercriminelen handelen. Hoe meer informatie, hoe groter de kans dat het onderzoek succesvol is. Met jouw aangifte help je dus ook andere slachtoffers. Ook maken de aangiftes het mogelijk nieuwe vormen van cybercrime te herkennen en beveiligingssoftware en systemen erop aan te passen.
Hoewel qr-codes eenvoudig in gebruik zijn en veel mogelijkheden bieden, is het belangrijk om alert te blijven. Veiligheid en gemak gaan immers niet hand in hand. Denk dus twee keer na voordat je een qr-code gebruikt.
Helemaal mee eens dat QR-codes een potentieel gevaar zijn, dus goed dat je het onder de aandacht brengt. Naast de alertheid (dus people) te attenderen en trainen, kan een Mobile Threat Defense oplossing ook vanuit technology dergelijke malafide websites blokkeren. Denk dat een Multi-Layered approach altijd effectiever is in plaats van te vertrouwen op één pilaar.
Quick Response maar wel 2 keer nadenken 🙂
Zou het kunnen, dattie meteen gaat bellen of dat je eerst moet bevestigen ? Of net als met die cookies, dat je zowat gestudeerd moet hebben om niet per ongeluk alle tracking en market targeting te accepteren.
Hele leven leren, hele leven alert zijn.
Hoe was het vroeger ook alweer ?
Beter.
Je verwijst naar special scanners, ik citeer:
“Alertheid vormt nog altijd het beste wapen om je te beschermen tegen cybercriminelen”
Als je er zeker van wilt zijn dat de qr-code veilig is, doe je er verstandig aan om een speciale scanner te gebruiken die de code controleert op schadelijke inhoud en valse (phishing)websites.
Kun je die noemen bij naam, ik kan me daar niets bij voorstellen.
Alvast dank.
Hallo Eddy, zonder nu direct Lookout te promoten (omdat ik daar werk – maar je vroeg om een naam ;-)) ), maar denk dat de meeste Mobile security oplossingen wel iets met anti-phishing doen op een mobiel device. Zodra de url benadert wordt, dan zou er ingegrepen moeten worden door de oplossing en de website geblokkeerd worden.
Zie ook een eerder blog van ons. (geen idee of de link gaat werken trouwens als ik m in deze reactie plaats) https://www.lookout.com/blog/qr-code-phishing
Van het doorgegeven van meterstanden tot ‘veilig’ en snel betalen is de QR-code aan een opmars bezig. En logisch dat criminelen hiervan gebruik maken want het is de vraag of de crimineel haast heeft of de slachtoffers die niet handmatig naar een website willen gaan. QR-codes bieden namelijk in de eerste plaats een handige manier om informatie, instructies of andere gegevens uit te wisselen op basis van de verwachting dat er gebruik gemaakt wordt van een smartphone.
Lookout promoten is tegen de regels maar een kniesoor die zich druk maakt om de voorwaarden hoewel ik over laatste nog altijd geen uitsluitsel heb gekregen over landing van (meta)data. Neem aan dat G Data als Duits bedrijf gebruik maakt van servers binnen Europese Unie terwijl Lookout nog altijd gebruik maakt van servers in Amerika.
Ah, daar is ‘een oudlid’ weer. Onze anonieme rebel. Als je de reactie goed hebt gelezen geef ik specifiek aan dat ik de naam noem omdat hij daar om vraagt en tevens aangeef dat meeste mobile security oplossingen zo zouden moeten werken. Dus volgens mij ben ik niet aan het promoten.
Als Amerikaans bedrijf is het logisch dat wij gebruik maken van servers in Amerika, dat doet elk Amerikaans bedrijf namelijk, zoals microsoft etc. Wij maken ook gebruik van EU servers, dat heb ik vorige keer ook beschreven.
Deze middag hebben we nog een afspraak gehad met een overheidsinstelling samen met privacycompany en zij bevestigden dat wij conform de richtlijnen van de GDPR uitstekend onze processen ingericht hebben, waardoor er geen PII op de servers van Amerika belandt.
Wellicht is het een idee om deze vervelende beschuldigingen richting onze organisatie te stoppen, zeker zolang je het vanuit ‘de buitenkant’ bekijkt en totaal geen inhoudelijk kennis hebt van onze processen.
@Paul:
Met het risico een welles-niets discussie te starten:
Ik heb ook geen weet van de interne processen bij Microsoft365, Google Workspace en een paar anderen. Maar ik zie wel akelig veel netwerk pakketjes richting de US verdwijnen op het moment dat ik een van deze in gebruik heb… ondanks het statement dat ze GDPR/AVG-compliant zijn en gebruik maken van servers in Europa…!
Hallo Will
Dank voor je reactie. Laat ik voorop stellen dat ik ook niet van de welles-nietes discussies ben. Ik ben inhoudelijk niet met de pakketjes van Microsoft en Google bezig, eerlijk gezegd, ook al lees ik af en toe natuurlijk ook berichten met daarin twijfels over hoe men te werk gaat. We hebben te maken met GDPR/AVG en daar voldoen wij aan. En als dit (binnenkort) wijzigt, dan zullen we hier ook gewoon weer aan voldoen. Daar kan je ook geen welles-nietes discussie over starten toch 😉
Sorry Paul, maar ik lees alleen wat je bedrijf zelf schrijft in een keurige Nederlandse uitleg over hoe de processen in elkaar steken:
https://www.lookout.com/legal-home
Als processen over gegevensoverdracht anders zijn dat hier beschreven – wat me gezien wetgeving niet waarschijnlijk lijkt – dan is het handig om daar melding van te doen. Zie zelf de onderzoeks- en handhavingsbevoegdheden van de Amerikaanse Federal Trade Commission welke voor een dispuut zorgen aangaande de privacy waarborgen voor Europese ingezetenen.
Als rebel ben ik geen dompteur van de papieren tijgers doordat ik inhoudelijk bekend ben met de (informatie)processen en weleens wil weten welke functionarissen je gesproken hebt, de afdeling inkoop is tenslotte vaak te goed van vertrouwen als het om de mooie beloften gaat. Naar mijn opinie gaat welles-nietes discussie over AVG/GDPR vooral om het ‘privacy-by-design’ principe waarbij ik wijs op het proces omdat een minimalisatie van gegevens een uitgangspunt hierin is. Een multi-layered approach komt dan ook niet overeen met AVG/GDPR als we kijken naar het doel en de gegevensdoorgifte.
Don’t shoot the messenger maar als het om malafide QR-codes gaat wat heb je dan werkelijk nodig om de gebruiker tegen zichzelf in bescherming te nemen?
Oudlid. Je doet hier een aanname dat wij mooie beloften aan de afdeling inkoop gedaan hebben, terwijl we het gesprek hebben gehad met de privacy jurist van de betreffende organisatie en een extern bureau. Die zouden heus wel door mooie beloften heenprikken, niet? En uiteraard ga ik de gegevens van functionarissen niet delen, dat zou jij toch moeten weten met al je privacy-kennis.
Dit artikel gaat over QR-codes en daarin gaf ik layered defense aan als zijnde een technische oplossing op het mobiel device waarmee je QR-codes scant en een persoon (die als last-line of defense kan acteren). Begrijp niet wat hier dan overeenstemming AVG/GDPR niet overeen komt.
Als je het dan toch over minimalisatie van gegevens als uitgangspunt hebt. Onze oplossing wordt uitgerold naar mobiele devices door middel van een Mobile Device Management oplossing. Met de uitrol hanteren we het principe van privacy-controls. Hierdoor krijgt onze App een zogenaamd “MDM Device-ID” van de MDM meegestuurd. In de MDM zelf wordt ook een random (ander) MDM Device-ID gecreëerd en deze twee ID’s worden binnen de MDM aan elkaar gelinkt. Door deze constructie hebben we binnen onze oplossing dus geen persoonsgegevens nodig (en zien we in onze console alleen MDM-Device-ID nummers). Alleen de beheerders van de MDM kunnen op basis van het MDM-Device-ID de daadwerkelijk gebruiker van het device herleiden. Aangezien dus alle relevante persoonsgegevens zich in een andere oplossing (fabrikant) begeven, voldoen we hiermee uitstekend aan minimalisatie.
En daarmee wil ik het ook laten. Welles-nietes, gelijk hebben-gelijk krijgen. Ik heb aangegeven dat wij voldoen aan GDPR en ook je nu wat meer achtergrond gegeven. Onze vele klanten vinden dit een uitstekende (privacy vriendelijke) oplossing.