Det är egentligen inget nytt att hackarna försöker lura oss via QR-koder, men jag tror ändå att väldigt få känner till begreppet quishing, en sammandragning av QR-kod och phishing.
Det är inte heller särskilt förvånande att hackarna använder sig av QR-koderna i sina kampanjer; de är lätta att använda, vi känner till dem och skannar dem rutinmässigt med våra telefoner, och så kan de innehålla en länk – allt det här är mumma för nätbanditerna.
De är också svåra att känna igen som bedrägerier, både för e-postfilter och för oss som ser dem i mejl, annonskampanjer på nätet och på andra håll. Och det blir inte lättare när vi tittar närmare på hur hackarna använder QR-koderna. De länkar som de har med i sina quishing-kampanjer är nämligen ofta omdirigeringar från legitima källor. Det innebär att en snabb inspektion av QR-koderna visar en legitim adress, vilket ökar sannolikheten för att de smiter igenom försvarsmuren.
Närbrottslingarna skickar sedan e-postmeddelanden som låtsas komma från officiella källor, och de är antingen en del av mejlet eller bifogas som filer.
När du som användare sedan skannar dem kan du hamna i en omröstning eller enkät där du blir ombedd att lämna dina personliga uppgifter, som personnummer, namn, adress och telefonnummer.
Förutom att du frivilligt lämnar ut känslig kod finns det även en risk att du automatiskt installerar skadlig kod på din telefon, t.ex. spionprogram eller ransomware. Om du har riktigt otur kan det vara programvara som låter brottslingarna ta kontroll över din telefon.
Ett tredje exempel är att du skickas till din ”bank”, där du behöver logga in. Hackarna tar sedan över förbindelsen med en så kallad man-in-the-middle-attack, där de snappar upp dina BankID-uppgifter och loggar in istället. Under tiden får du upp ett felmeddelande om att banken har problem, och att du ska försöka igen senare.
QR-koder är bra för många saker, och om du skannar en QR-kod på Coop är sannolikheten inte stor att det är en quishing-attack. Men om du får en QR-kod i mejlen ska du inte skanna den.
Logga istället in på tjänsten via deras hemsida. Det är så du kan vara säker på att du inte loggar in på en skadlig tjänst.