Tietoturva Nyt!
QR-koodien käyttö lisääntyi koronapandemian aikana, kun esimerkiksi monet ravintolat ja yritykset pyrkivät vähentämään kontakteja. Samalla QR-koodien käyttö on yleistynyt myös huijauksissa.
Quishing on QR-koodin avulla tapahtuvaa tietojenkalastelua, jossa houkutellaan skannaamaan QR-koodi älypuhelimella tai tabletilla. QR-koodit on helppo avata älypuhelimella tai tabletilla, koska niihin on sisäänrakennettu kamera, joka tunnistaa QR-koodin.
Rikolliset jakavat QR-koodeja sähköpostin, sosiaalisen median tai jopa fyysisten lentolehtisten ja tarrojen välityksellä. Aidon näköisen QR-koodin varjolla mainostetaan esimerkiksi erikoistarjouksia tai kehotetaan vastaanottajaa hyväksymään kiireellinen tietoturvapäivitys. “Quishing”-sähköpostiviestissä yritetään luoda kiireen tuntua, kuten muissakin tunnustenkalasteluviestissä, mutta siitä puuttuvat huijausviesteistä tutut linkit ja liitetiedostot.
Kuinka tunnistan QR-koodilla tehtävän kalastelun?
- Älä skannaa QR-koodia tuntemattomasta lähteestä. Käsittele QR-koodia kuin linkkiä. Ennen kuin luet QR-koodin sähköpostiviestistäsi, mieti onko viesti aito vai yritetäänkö sinulta huijata tunnuksia tai muuta arkaluonteisia henkilötietoja. Jos saat QR-koodin ystävältä tekstiviestinä tai työkaverilta sosiaalisen median kautta, varmista lähettäjältä esimerkiksi soittamalla, että QR-koodi on aito.
- Varo lyhennettyjä linkkejä. Jos näyttöön tulee lyhennetty URL-osoite, kun viet kameraa QR-koodin päälle, sinulla ei ole mitään keinoa tietää, minne linkki sinut vie.
- Ole valppaana tietojenkalastelukampanjoiden tunnusmerkkien suhteen. Rikolliset vetoavat monesti kiireeseen ja ihmisten tunteisiin.
- Ole erittäin varovainen, jos QR-koodi vie sinut sivustolle, jossa pyydetään henkilökohtaisia tietoja, kirjautumistietoja tai maksua. Älä anna sähköpostitunnuksia tai luottokorttisi tietoja.
- Jotkut rikolliset yrittävät johtaa kuluttajia harhaan muuttamalla laillisia yritysmainoksia tai kiinnittämällä niihin QR-kooditarroja.
- Varo väärennöksiä. Jos et ole varma QR-koodin aitoudesta, voit pyytää yritystä tarkistamaan sen. Suurin osa yrityksistä asentaa pysyvästi skannattavia QR-koodeja laitteisiinsa laminoimalla koodin tai sijoittamalla sen lasin taakse. Usein ne sisältävät myös yrityksen logon.
Mitä voi tapahtua, jos skannaan haitallisen QR-koodin?
QR-koodit eivät vain ohjaa sinua URL-osoitteeseen. On olemassa muutamia eri tapoja, joilla huijarit käyttävät QR-koodeja henkilökohtaisten tietojen varastamiseen tai muihin rikoksiin:
- Sinut voidaan ohjata tietojenkalastelusivulle.
Rikolliset voivat tehdä internetsivustoja, jotka muistuttavat aitoa sisältöä. Sivustolla voidaan pyytää tietojasi, kuten nimi, sähköpostiosoite, salasana, luottokortin tiedot tai puhelinnumero. - QR-koodin voi myös määrittää lataamaan haittaohjelmia, kiristysohjelmia ja troijalaisia laitteelle. Ladattujen tiedostojen suorittaminen kuitenkin vaatii käyttäjän toimia. Lisäksi käyttäjän selain voidaan ohjata siirtymään maksusivustoille.
Mitä tehdä, jos skannasin väärennetyn QR-koodin?
Jos skannasit QR-koodin ja huomasit tulleeksi huijatuksi, voit toimia seuraavasti
- Jos annoit sähköpostitunnuksesi käyttäjätunnuksen ja salasanan, vaihda salasanasi heti. Jos kyse on työpaikkasi sähköpostista, ilmoita asiasta IT-tuelle. Varmista, että käytät tileissäsi vahvoja salasanoja. Lisää suojaustasoa ottamalla käyttöön kaksivaiheinen todennus (MFA).
- Ilmoita heti pankkiisi, jos epäilet luottokorttitietosi- tai pankkitunnuksesi vaarantuneen.
- Jos laitteellesi latautui haittaohjelmia, katkaise yhteys Wi-Fi- tai matkapuhelinverkkoosi heti, kun huomaat, että tiedosto saattaa olla haitallinen. On pienempi riski, että haittaohjelma saattaa lähettää arkaluontoisia tietojasi hakkereille, jos internetyhteyttä ei ole.
- Varmuuskopioi tärkeät tiedostosi. Jos laitteesi vaarantuu, rikolliset voivat varastaa yksityisiä tietojasi, kuten kuvia tai tiedostoja, tai he voivat jopa salata asemasi ja vaatia lunnaita.
- Jos henkilötietosi ovat vaarantuneet, voit suojata niitä ohjeidemme mukaan.
Sähköpostisuodattimet eivät tunnista QR-koodilla tehtävää kalastelua
Perinteiset sähköpostisuodattimet luottavat linkkien analysointiin ja sisällön tarkastuksiin haitallisen URL-linkin tunnistamiseksi. QR-koodilla tehtävässä kalastelussa QR-koodien linkit ohittavat sähköpostisuodatukset, koska suodattimet ei osaa avata QR-koodia.
Usein QR-koodi luetaan henkilökohtaisella laitteella, jolloin haitallisen sivuston avaaminen tapahtuu yrityksen suojauksien ulkopuolelta. Tässä tapauksessa yrityksen on haastavaa tunnistaa hyökkäyksen uhriksi joutuneet henkilöt.
Tätä riskiä voi organisaatiossa lieventää seuraavin menetelmin:
- Anna työntekijöille tietoa QR-koodeista ja niiden turvallisesta käytöstä.
- Tarjoa yksinkertainen tapa raportoida epäilyttävistä sähköpostiviesteistä IT-tuelle.
- Ottakaa käyttöön monivaiheinen tunnistautuminen sähköpostiin.
- Käyttäkää yrityksen resursseja ja ohjelmia vain luotetuilla ja suojatuilla laitteilla.
- Käyttäkää yrityksen suosittelemia QR-koodin skannaussovelluksia, joissa on sisäänrakennetut suojausominaisuudet mahdollisten haitallisten koodien havaitsemiseksi.
- Laadi selkeät käytännöt ja ohjeet QR-koodin skannaukseen organisaatiossa.
- Tee tunnistettava brändi QR-koodeille, jotta organisaatio voi helposti erottaa lailliset QR-koodinsa haitallisista.