Mer än hälften av alla QR-koder i e-postmeddelanden är falska, enligt nya data från Cisco Talos.
Idag scannar de flesta minst en QR-kod dagligen via mobilen, som ett led i flerfaktorsautentisering eller för att ta del av reklamerbjudanden, och i och med införandet av digitala ID-kort förra sommaren har miljoner svenskar också en personlig QR-kod kopplad till sin identitet.
Under förra året noterades en snabbt ökad användning av falska QR-koder i samband med cyberbedrägerier – en utveckling som har fortsatt. Cisco Talos, Ciscos organisation för cyberhotforskning och analys, har i en ny undersökning beräknat att 1 mejl på 500 innehåller en QR-kod – och att 60 procent av dessa koder kan kopplas till spam eller bedrägeriförsök.
– Vi har tränats i många år på att vara misstänksamma mot att öppna filer och klicka på länkar i e-postmeddelanden, men vi har inte samma inövade skepsis mot QR-koder. När det blivit en del av vardagen att använda koderna, samtidigt som det är lätt och smidigt att göra, minskar tröskeln för att göra något ogenomtänkt ännu mer, säger Henrik Bergqvist, säkerhetsexpert på Cisco Sverige, i ett pressmeddelande.
En annan viktig anledning till att de falska QR-koderna är så populära är, enligt Cisco Talos, att de kan kringgå säkerhetsåtgärder som är riktade mot att stoppa misstänkta länkar och bilagor. Många programvaror för att skydda e-post har begränsade förmågor att analysera en QR-kod. Det innebär att QR-baserad skräppost har större chans att nå fram till mottagaren än vanlig skräppost.
Det blir också allt vanligare med ”QR-konst” där koden integreras i en bild, vilket gör det ännu mer komplext att analysera, framhåller Cisco. Men säkerhetsföretagen har uppmärksammat problemet och arbetar med nya lösningar för att förbättra skyddet. Det går också att använda kostnadsfria QR-decoders på nätet för att ta reda på vad koden innehåller utan att själv scanna den.
– Fördelen med QR-koder är ju att de är enkla och smidiga att använda och tyvärr innebär ett bra skydd ofta att handhavandet blir mer komplicerat. Men med tanke på hur snabbt det här problemet ökar är det också nödvändigt. Vi måste vara lika skeptiska till en QR-kod som till en weblänk eller bifogad fil, säger Henrik Bergqvist.