Sleutel wegneemetes
- QR-kodes is so gevaarlik soos kwaadwillige skakels in e-posse.
- Hierdie kodes bevat skakels wat programme kan oopmaak, telefoonoproepe kan begin, jou ligging kan deel, en meer.
- Beskerm jouself deur QR-kodes te vermy en eerder 'n skakel te gebruik.
Pleks daarvan om 'n vuil restaurant-spyskaart met ons kaal hande op te tel, het ons gewoond geraak aan die higiëne van QR-kodes. Maar dit kan 'n bietjie vuiler en baie gevaarliker wees as wat jy dalk dink.
In 2015 het 'n Duitse ketchup-liefhebber die QR-kode op hul bottel Heinz geskandeer en is direk na 'n porno-werf gestuur. Dit kan verleentheid wees, maar daar is erger gevolge vir blindelings skandeer van QR-kodes. Volgens wagwoordbestuurderdiens 1Password kan QR-kodes telefoonoproepe aktiveer, jou ligging verraai, 'n telefoonoproep begin wat jou beller-ID openbaar, en meer. Wat kan ons daaromtrent doen?
"Ons het almal gekondisioneer geraak om 'n QR-kode te skandeer om deur 'n spyskaart te blaai of selfs ons rekeninge te betaal, en kubermisdadigers kapitaliseer nou hieruit deur die gebruik van kwaadwillige QR-kodes," Craig Lurey, kuberveiligheidskenner en mede -stigter van Keeper Security, het per e-pos aan Lifewire gesê. "So wat lyk soos 'n kode om vir 'n parkeermeter te betaal, en die webwerf sal ongelooflik legitiem lyk, jy voer eintlik jou kredietkaartbesonderhede direk in 'n dief se databasis in."
Slegte skakels
'n QR-kode is net 'n kortpad na 'n skakel wat deur jou foon se kamera gelees en dan gedekodeer kan word. Ons is almal opgelei om nooit 'n skakel in 'n e-pos te klik nie, selfs al lyk dit wettig. Maar QR-kodeskakels is net so gevaarlik en het die bykomende probleem dat jy nie kan sien waarheen hulle lei totdat jy dit skandeer nie.
Wanneer ons aan skakels dink, dink ons aan URL's wat ons na webwerwe neem. En in die geval van die Heinz ketchup porn hack, dit was die probleem - Heinz het die domeinnaam laat verval, en iemand anders het dit gekoop en dit dan met vuil prente gelaai. URL'e is gevaarlik, soos Lurey se parkeermeter uitvissing-bedrogspul illustreer, maar skakels kan baie meer doen.
"Een van die grootste probleme is dat, anders as webwerwe, QR-skakels na verkorte URL's selde die besigheidsnaam identifiseer," het Monti Knode, voormalige bevelvoerder van die USAF 67th Cyberspace Operations Group, per e-pos aan Lifewire gesê. "'n Persoon klik daarop en neem aan dat dit 'n restaurant-spyskaart, konferensie-agenda of selfs 'n liefdadigheidsskakel sal verskaf, en dit kan baie goed 'n bedrieglike webwerf of 'n kwaadwillige skakel wees wat kode na jou rekenaar of mobiele toestel aflaai."
Op ons fone kan skakels programme aktiveer. 'n Google Maps-skakel maak byvoorbeeld in die kaarttoepassing oop. Skakels kan ook oproepe veroorsaak, kontakte by jou adresboek voeg (en dus toekomstige oproepe en e-posse reg laat lyk), hulle kan jou ligging deel, en meer.
Een vernuftige bedrogspul behels 'n niks-doen-goed om 'n bestaande, wettige QR-kode te wysig en dit te gebruik om slagoffers te herlei. Adverteerder Robert Barrows het 'n storie oor sy Video Enhanced Gravemarker gedeel.
"Ek het besef dat daar verskeie probleme met QR-kodes op grafstene kan wees," het Barrows per e-pos aan Lifewire gesê. "Wat gebeur as die ink op die QR-kode mettertyd verval? Sal jy uiteindelik na 'n totaal ander webwerf skakel? Wat gebeur as iemand die QR-kode met 'n merker verander?"
Dieselfde ding kan gebeur met advertensieplakkate, spyskaarte of enige QR-kode.
Beskerm jouself
Stap een om jouself te beskerm, is om bewus te wees. Moet nooit 'n QR-kode skandeer tensy jy seker is dat dit veilig is nie. Wat regtig beteken, skandeer nooit 'n QR-kode ooit nie.
Maar as jy moet skandeer om by 'n restaurant of kroeg aan te meld of 'n spyskaart te bekyk, maak eers seker dat daar nie met die kode gepeuter is of met 'n plakker van 'n ander QR-kode bedek is nie. Een wenk is om outomatiese QR-kodeskandering in jou foon se instellings af te skakel, indien moontlik. Maar eintlik is die beste beskerming om versigtig te wees.
"Wanneer moontlik, net soos met potensiële phishing-skakels, is die aanbevelings om direk na die verskaffer se webwerf te gaan om die inligting te kry waarna jy soek," het Dave Cundiff, CISO van die kuberveiligheidsmaatskappy Cyvatar, per e-pos aan Lifewire gesê. "In die meeste gevalle word die inligting op die web aangebied en iewers direk op die verskaffer se webwerf toeganklik."
As die skakel nie beskikbaar is nie, moenie dit skandeer nie. Dit is baie minder gerieflik, maar nie so ongerieflik soos om dae of weke te praat om die uitval van 'n kwaadwillige skakel te hanteer nie.
