Mer enn halvparten av QR-koder i epost, er svindelforsøk. Mange stoler på at spamfiltre fanger opp slikt, men falske QR-koder går svært ofte under radaren.
I disse dager venter mange på levering etter netthandel. Da kan det være fristende å skanne en QR-kode som tilbyr deg å finne ut hvor bestillingen er.
– QR-koder er blitt en naturlig del av nordmenns hverdag. De finnes i eposter, på menyer, i parker og ved arrangementer. Selv om de ofte er praktiske, anbefaler vi å være forsiktige med å skanne QR-koder uten å vite hva de inneholder, sier sikkerhetssjef Leif Sundsbø i Cisco Norge i en epost til NTB.
En undersøkelse fra Cisco Talos, en etterretningsgruppe for cyber- og informasjonssikkerhet, viser at globalt inneholder 1 av 500 eposter en QR-kode. Av disse er 60 prosent av QR-kodene spam.
I mars opplevde mange å få melding, angivelig om skattemeldingen sin, med beskjed om å skanne seg videre for å få vite mer. I neste trinn ble de gjerne bedt om å oppgi personlig informasjon.
– Epost eller meldinger med QR-koder blir stadig mer vanlig. Slike koder er lette å skanne. Da er det viktig å forstå at du kan bli ledet til nettsider som samler sensitive opplysninger om deg eller sprer skadelig programvare, advarte Skatteetaten.
Dette er QR-kode-svindel
QR betyr Quick Response, og en QR-kode ser ut som en firkantet strekkode. Bildet kan skannes med telefonen, og fungerer som en lenke – du tas videre til innlogging eller nettside. Som med falske lenker, finnes det falske QR-koder.
Men mens vi kan se en lenke og vurdere om den er ekte, så er det ikke så lett med QR-koder. Filtre som skal oppdage spam og advare mottakerne, er ikke alltid designet for å oppdage eller dekode informasjon fra QR-koder plassert i bilder, og så havner eposten i innboksen.
– Det viktigste for folk er å bli klar over at å skanne en QR-kode, det er i praksis det samme som å klikke på en lenke, sier jurist Thomas Iversen i Forbrukerrådet til NTB.
Mens folk etter hvert er blitt riktig så flinke til å ikke klikke på lenker i eposter, opplever Forbrukerrådet stadig at forbrukere har klikket på QR-koder de burde holdt seg unna.
Utnytter det som gjelder mange
Svindelforsøkene kommer gjerne i forbindelse med sesongbaserte fenomen som gjelder mange personer, kanskje alle. Eksempler er når skattemeldingen er på vei, før ferier eller i forbindelse med at mange handler på nett og venter på pakker i posten.
– Nå er det nok mange som venter på leveringer, og i julestresset er du kanskje litt mindre observant. Får du en epost om at du kan sjekke hvor pakken din er, blir det veldig lett å bare skanne den QR-koden. Men det er altså greit å være obs – selv om det snart er jul, sier Iversen.
Han påpeker at det heller ikke er bare i eposter folk blir lurt med falske QR-koder.
– Man bør være litt skeptisk alle steder hvor man må skanne QR-koder for å få bestilt eller betalt eller få informasjon, sier Iversen, som selv er spesielt forsiktig i forbindelse med ferier.
– QR-koder finnes veldig mange steder, alt fra restaurantmenyer til ladestasjoner. Men det er viktig å være forsiktig med hvor du skanner, siden en falsk QR-kode lett kan klistres oppå en ekte.
De tre vanligste svindlene
Selskapet QR Tiger tilbyr å generere QR-koder for privatpersoner og bedrifter, men advarer også mot svindelforsøkene. QR Toger lister opp de tre vanligste måtene folk blir lurt på.
1. Falske QR-koder klistret på parkeringsautomater. I stedet for å sjekke om QR-koden for betaling er autentisk, haster folk forbi på vei ut av parkeringen og skanner QR-koden i farten.
2. QR-koder på uventede pakker. Pakken kan komme med fullt navn og adresse, men du må skanne en QR-kode for å motta den eller returnere den. Når du skanner koden, kan du bli bedt om å oppgi personlige opplysninger, som kredittkortinformasjon, sikkerhetspassord og engangs-PIN.
3. Falske QR-kuponger sendt via epost og tekstmeldinger. Svindlerne lurer folk til å skanne QR-koder som angivelig vil gi dem rabatter når de betaler med kort. I stedet får de kredittkortinformasjonen sin stjålet.