QR-codes hebben de wind in de zeilen. Zoals elke populaire technologie heeft het uitgebreide gebruik van QR-codes ook de aandacht getrokken van oplichters.
8 februari 2022 – QR-codes hebben de wind in de zeilen. Ze bestaan al sinds 1994, maar het is pas sinds de pandemie dat ze echt vertrouwd geworden zijn. Tegenwoordig vindt men ze overal en worden ze voor alles gebruikt, van restaurantmenu’s en het faciliteren van contactloze transacties tot integratie in apps voor het traceren van contacten.
Zoals elke populaire technologie heeft het uitgebreide gebruik van QR-codes ook de aandacht getrokken van oplichters en dit voor negatieve doeleinden. In de VS leidde deze trend zelfs tot een waarschuwing van de FBI (alert from the United States’ Federal Bureau of Investigation). Hier zien we hoe oplichters deze codes in hun voordeel gebruiken en waar we op moeten letten bij het scannen van een QR-code.
Wat is een QR-code en hoe werkt het?
Een QR-code, afkorting voor ‘Quick Response’, is een machine-scanbare streepjescode bedoeld om, door een digitaal toestel, onmiddellijk gelezen en geïnterpreteerd te worden. Een QR-code bevat maximaal 4.296 alfanumerieke tekens, maar de meeste tellen er minder en kunnen dus gemakkelijk worden gedecodeerd door de camera van een smartphone.
De tekstreeksen in een QR-code kunnen diverse gegevens bevatten. De actie die wordt geactiveerd bij het lezen van een QR-code hangt af van de app die met de code communiceert. Deze kunnen gebruikt worden om een website te openen, een bestand te downloaden, een contactpersoon toe te voegen, verbinding te maken met een wifi-netwerk en zelfs betalingen te doen en tal van andere acties. QR-codes zijn veelzijdig en kunnen logo’s bevatten. Dynamische versies van QR-codes maken het mogelijk om de inhoud of actie op elk moment te wijzigen, maar kan een mes zijn dat langs twee kanten snijdt.
Hoe kunnen QR-codes worden misbruikt?
Het gebruik van QR-codes (en het potentieel voor misbruik) is de oplichters niet ontgaan. Ze hebben de codes gekozen om gegevens en geld te stelen:
1. Omleiden naar kwaadaardige website om gevoelige informatie te stelen
Phishing-aanvallen verspreiden zich niet enkel via mails, instant messaging of sms-berichten. Oplichters kunnen kwaadaardige advertenties en andere technieken gebruiken om slachtoffers naar frauduleuze sites te leiden, en ze kunnen het met QR-codes doen. Dit is van groot belang daar codes te vinden zijn in advertenties op drukbezochte plaatsen of in de buurt van banken of andere financiële instellingen. In een recent geval werden stickers met een frauduleuze code op openbare parkeermeters in verschillende Texaanse steden geplakt, met links naar nepbetaalsites. https://twitter.com/Austin_Police/status/1478122920371232770
2. Een kwaadaardig bestand op een toestel downloaden
Heel wat bars en restaurants gebruiken QR-codes om de menu te downloaden of een app te installeren waarmee klanten bestellingen kunnen plaatsen. Oplichters kunnen gemakkelijk knoeien met de QR-code en de gebruiker misleiden om een kwaadaardige pdf of mobiele app te downloaden.
3. Acties op het toestel activeren
QR-codes kunnen rechtstreeks acties op een toestel activeren. Deze zijn afhankelijk van de app die ze inlezen (opgelet voor nep lees-apps). Er zijn basisacties die elke standaard QR-lezer kan interpreteren. Dit omvat het verbinden van het toestel met een Wi-Fi-netwerk, het verzenden van een mail of sms met vooraf gedefinieerde tekst of het op het toestel opslaan van contactgegevens. Hoewel deze acties niet kwaadaardig zijn, kunnen ze worden gebruikt om een toestel in een gecompromitteerd netwerk in te sluiten of om namens het slachtoffer berichten te verzenden.
4. Een betaling omleiden of geld vragen
Vandaag kunnen de meeste financiële apps betalingen uitvoeren met behulp van QR-codes die gegevens bevatten die aan de ontvanger van het geld toebehoren. Veel winkels laten hun codes zien om transacties te vergemakkelijken. Een oplichter kan deze code dus met zijn eigen gegevens aanpassen en betalingen op zijn rekening ontvangen. Hij kan ook codes genereren en verzoeken om geld in te zamelen en zo kopers te misleiden. Het gebeurde met gebruikers die meldden dat ze opgelicht waren door valse QR-codes (fake payment QR codes).
5. De identiteit van een gebruiker of de toegang tot een app stelen
Talloze QR-codes worden gebruikt als certificaat om iemands informatie, identiteitskaart of vaccinatieboekje te verifiëren. Deze QR-codes kunnen informatie bevatten die even gevoelig is als die op hun identiteitskaart of medisch dossier. Een oplichter kan ze dus gemakkelijk verkrijgen door de QR-code te scannen.
Veel apps, zoals WhatsApp, Telegram of Discord, gebruiken soms QR-codes om gebruikerssessies te verifiëren en gebruikers toegang te geven tot hun accounts. Dit gebeurde met aanvallen als QRLjacking op WhatsApp. Ze kunnen de gebruiker misleiden door zich voor te doen als de service en de gebruiker aanzetten tot het scannen van de door de oplichter gegeven QR-code.
In de meeste gevallen genereert de oplichter een kwaadaardige QR-code die de originele code vervangt en door het slachtoffer moet gescand worden. Oplichters gebruiken vervolgens social engineering en misleiden het slachtoffer tot een negatieve actie. Hier is wat men moet overwegen voordat men een QR-code scant.
Tips om veilig te blijven bij het gebruik van QR-codes
· Voor men een QR-code scant, controleren of er niet mee geknoeid werd; bijvoorbeeld controleren of de sticker de originele info niet bedekt.
· Geen willekeurig gevonden QR-codes in ongevraagde berichten scannen.
· Uiterst voorzichtig zijn bij het gebruik van een QR-code om een rekening te betalen of een andere financiële transactie uit te voeren. Eventueel en andere betalingsoptie overwegen.
· Even voorzichtig zijn met codes als met of bijlagen in mails of messaging-apps.
· De optie uitschakelen om automatische acties uit te voeren bij het scannen van een QR-code, zoals het bezoeken van een website, het downloaden van een bestand of in verbinding treden met een Wi-Fi-netwerk .
· Na het scannen, controleren of de URL wel legitiem is. Toch is het vaak beter te voorkomen dat men zijn login of persoonlijke informatie invoert op een site waarop men via een QR-code belandde. Als iets niet klopt, opent men een browser om er zelf de URL in te voeren.
· Geen QR-codes delen die gevoelige informatie bevatten, zoals de codes gebruikt om apps te openen of deze opgenomen in documenten en gezondheidscertificaten.
· Bij het genereren van een QR-code, een gerenommeerde service gebruiken. Een dergelijke service kan ook de echtheid van de QR verifiëren en de gewenste actie uitvoeren.
· Apps up-to-date houden en beveiligingssoftware gebruiken.