Qr-codes zijn overal. We gebruiken ze om websites te openen, apps te downloaden, loyaliteitspunten te verzamelen, betalingen te doen en geld over te maken. De technologie is handig, met als gevolg dat ook cybercriminelen graag gebruikmaken van de technologie.
Een trend is dat cybercriminelen qr-codes aanmaken. Door deze verspreiden, kunnen cybercriminelen hun slachtoffers doorverwijzen naar dubieuze websites of applicaties. Op deze manier proberen ze gevoelige gegevens te bemachtigen, malware op je telefoon te installeren of je over te halen een betaling te doen. Cybercriminelen zullen je dus eerst moeten overhalen om de kwaadaardige qr-code te scannen en erop te klikken of te tikken. Er worden hier allerlei tactieken voor gebruikt.
Reputatie van legitieme partijen
Vaak misbruiken cybercriminelen het werk en de reputatie van legitieme partijen. Cybercriminelen doen dit bijvoorbeeld door een qr-code op een poster of menukaart te vervangen door een kwaadaardige code. Zodra een gebruiker de code scant en vervolgens op de url klikt, komt hij of zij terecht op een phishing-site die veel weg heeft van een inlogpagina van een sociaal netwerk of online-bank. Op deze manier ontfutselen ze gevoelige informatie, zoals wachtwoorden of bankgegevens. Vaak plaatsen ze ook banners met een kwaadaardige qr-code of versturen ze mails die verwijzen naar een kwaadaardige qr-code.
Cybercriminelen laten qr-codes soms bepaalde acties uitvoeren. Zodra een slachtoffer de code scant, belt hij of zij automatisch een telefoonnummer tegen betaling. Een andere tactiek is de babbeltruc. De gedupeerden worden op straat aangesproken en gevraagd om via een qr-code geld over te maken voor de parkeerautomaat, omdat de cybercriminelen zelf alleen cash bij zich hebben. Om het geld over te maken, moet het slachtoffer even een code scannen. Vervolgens beland de gedupeerde op een nepsite met een inlogprocedure. De oplichter heeft vervolgens toegang tot de bankrekening van het slachtoffer, met alle gevolgen van dien.
Eindeloos
De mogelijkheden zijn eindeloos voor cybercriminelen. Kwaadaardige qr-codes worden aangetroffen op rekeningen, pamfletten, in presentaties en vrijwel overal waar je informatie of instructies kunt verwachten. Wat kun je doen om te voorkomen dat je per ongeluk een kwaadaardige code scant?
Ten eerste is zaak om goed te letten op de link die verschijnt na het scannen van de code. Als je met een smartphone de camera op de qr-code richt, zal de telefoon voorstellen de url te openen, vervolgens kun je de url controleren. Ziet deze er vreemd uit, klik dan niet op de link. Soms is de url ingekort, wees dan extra voorzichtig want met qr-codes is er geen reden om een url in te korten. Gebruik in plaats daarvan een zoekmachine of ga zelf naar de officiële winkel of het online-adres. Indien een code op een poster staat, is het verstandig een snelle ‘fysieke’ controle uit te voeren. Het kan namelijk voorkomen dat een kwaadaardige code over de originele code is geplakt.
Speciale scanner
Als je er zeker van wilt zijn dat de qr-code veilig is, doe je er verstandig aan om een speciale scanner te gebruiken die de code controleert op schadelijke inhoud en valse (phishing)websites. Daarnaast vormt alertheid nog altijd het beste wapen om je te beschermen tegen cybercriminelen. Als iemand je op straat vraagt een qr-code wilt scannen, dan kan dit potentieel gevaarlijk zijn. Oplichters zijn goed in het misbruiken van behulpzame mensen. Ze doen vaak alsof ze haast hebben, waardoor je geen tijd hebt om na te denken. Voel je daarom niet schuldig om gewoon weg te lopen als je het niet vertrouwt. Ook als je twijfelt aan de authenticiteit van een qr-code op een folder, is het over het algemeen verstandiger om de code niet te scannen. Het is misschien langzamer, maar je kunt altijd handmatig naar de website gaan voor meer informatie.
Mocht je nu toch slachtoffer zijn geworden, doe dan altijd aangifte bij de politie. Dit kan eenvoudig online via het meldpunt voor internet fraude (BE) of de Fraudehelpdesk (NL). Vaak doen slachtoffers dit niet. Maar met het bewijsmateriaal kunnen de politiediensten onderzoek doen naar de daders. Alle aangiftes samen geven inzicht in hoe cybercriminelen handelen. Hoe meer informatie, hoe groter de kans dat het onderzoek succesvol is. Met jouw aangifte help je dus ook andere slachtoffers. Ook maken de aangiftes het mogelijk nieuwe vormen van cybercrime te herkennen en beveiligingssoftware en systemen erop aan te passen.
Hoewel qr-codes eenvoudig in gebruik zijn en veel mogelijkheden bieden, is het belangrijk om alert te blijven. Veiligheid en gemak gaan immers niet hand in hand. Denk dus twee keer na voordat je een qr-code gebruikt.
Paul,
Dank voor de uitleg want je ontweek niet alleen mijn vraag maar ook die van Will over wat er nu naar Amerika gaat. En ja, dan moet ik aannames gaan doen want welles-nietes wees ik alleen maar op het feit dat er data naar Amerika stroomt, wat voor data is ook voor Will een vraag als deze buiten het bedrijfsnetwerk om gaat via het zelf meegebracht Internet van 4/5G.
Aangaande het Juvenalis dilemma van wie controleert de wachters geloof ik niet in beloften die zoals jezelf aangeeft nogal opportunistisch zijn, we hebben er geen actieve herinnering meer aan maar een klokkenluider maakte duidelijk dat spionage gewoon het nieuwe verdienmodel van de cloud is. Zeggen dat je aan de GDPR voldoet is niet genoeg als we kijken naar een omkering van de bewijslast zoals elke privacy jurist in Nederland kan beamen. Want het kopen van een tool, ongeacht de leverancier, ontslaat organisaties niet van de verantwoordelijkheid voor het opstellen van intern beleid aangaande rechten van betrokkenen:
1. Inzage van de gegevens
2. Correctie en wissen van de gegevens
3. Recht op beperking van de verwerking
4. Overdraagbaarheid van de gegevens
5. Bezwaar tegen geautomatiseerde besluitvorming en profilering
En ja, je psuedonomisering is één van de technische instrumenten om tot een privacy-by-design principe te komen maar de vraag is wel waar een ontkoppeling van persoon naar (random) ID plaats vindt want de relevante persoonsgegevens scheiden om ze in een andere oplossing weer te koppelen is precies één van de punten waardoor het Europese Hof tot de conclusie kwam dat er nog onvoldoende privacy waarborgen zijn voor een overdracht van persoonsgegevens. Tenslotte lijkt meekijken over schouder van een medewerker met MDM me een personeelsvolgsysteem. Ik vrees namelijk dat je toch echt in de datastroom zelf mee moet kijken om de gebruiker tegen zichzelf te beschermen als het om phising websites e.d. gaat.
Wat betreft de functionarissen vroeg ik niet om naam en rugnummer maar om de rollen want de ondernemingsraad kan bijvoorbeeld bezwaar tegen geautomatiseerde besluitvorming en profilering maken, MDM en BYO schijnen namelijk nog altijd geen goede vrienden te zijn als het gaat om de privacy.
Hallo oud lid. Goed om te lezen dat het nu duidelijk er is voor je. Zoals je zult begrijpen ben ik geen expert op het gebied van privacy en doe ik het met de kennis die ik heb. In gesprekken met organisaties schakel ik daarom ook intern weer experts bij. Ieder zijn kwaliteiten toch.
PS. het blokkeren van url’s gaat op basis van databases uiteraard en analyseren wij alleen de requests en niet de content van het bericht waarin de url zat (sms, mail, teams etc). Zoals je ook kunt lezen op onze website hebben beheerders geen inzicht in de browse-historie van het device. Prettige dag nog
Hallo allemaal,
Ik was eventjes op vakantie (nog steeds trouwens) vandaar het late antwoord. De qr-code scanner waarvan ik sprak is de qr-code scanner van je favoriete antivirus of security product. De meeste security producten hebben ook apart een qr-code scanner, zoals G DATA. Die scant en controleert automatisch de link. Gr Eddy
Veel plezier op/met je vakantie Eddy maar discussie ging uiteindelijk om de privacy impact, het meekijken over de schouder van een gebruiker door links te controleren gaat meer om wat G DATA – of in het geval van Paul om wat Lookout – met deze data doet.
Ik zag inderdaad net dat het over privacy en dergelijke ging. G DATA heeft hier ter verduidelijking over de producten en webpagina’s verschillende pagina’s over ( https://www.gdatasoftware.com/privacy ) . Het is inderdaad raadzaam om dit na te gaan bij de betrokken leveranciers van security producten. 😉