QR-koder er en sikkerhetsrisiko – slik brukes de i svindel

 Et bilde som inneholder tekst, Rektangel, konstruksjon, kunst KI-generert innhold kan være feil.

ITavisen.no

QR-koder har blitt en naturlig del av hverdagen. Vi bruker dem til betaling, parkering, menyer på restaurant, billetter, innlogging og hurtig tilgang til nettsider.

Det største problemet med QR-koder

Nettopp derfor er de også blitt et stadig mer attraktivt verktøy for svindlere. Nå advarer sikkerhetseksperter mot en økning i QR-basert svindel, der brukere ledes til falske nettsider uten å ane hva som skjuler seg bak koden. I motsetning til vanlige lenker ser du aldri adressen før du faktisk har scannet QR-koden. Det gjør teknologien spesielt egnet til phishing og annen digital svindel.

Thorbjørn Busch, leder for Fraud & Crime i Telenor:

Vi har allerede nå sett eksempler på denne type svindel via melding og e-post. Etter hvert som Skattemeldingen nærmer seg vil vi nok svært mange av oss motta en slik melding.

En QR-kode er i praksis bare et bilde som inneholder en nettadresse eller annen data. Når du scanner den med mobilen, blir du sendt direkte videre, ofte uten å få en tydelig forhåndsvisning av hvor du ender opp.

Det betyr at en QR-kode kan lede hvor som helst. Til en legitim nettside, eller til en falsk kopi laget for å stjele innloggingsdetaljer, betalingsinformasjon eller annen sensitiv informasjon. For brukeren er det umulig å vite forskjellen før det er for sent.

⚠️ QR-koder: Dette bør du gjøre – og unngå

Dette bør du gjøre
Sjekk alltid nettadressen etter at QR-koden er scannet
Bruk offisielle apper eller skriv inn adressen selv ved innlogging og betaling
Vær ekstra skeptisk til QR-koder i meldinger som skaper hastverk
Bruk mobilens innebygde kamera i stedet for tredjeparts QR-apper

Dette bør du unngå
Ikke scan QR-koder som ber deg logge inn med BankID eller passord
Unngå QR-koder på tilfeldige klistremerker i det offentlige rom
Ikke betal via QR-koder hvis du ikke forventer det på forhånd
Stol aldri blindt på QR-koder bare fordi de ser «offisielle» ut

Slik fungerer QR-koder

En QR-kode er en todimensjonal strekkode som lagrer data i et rutenett av svarte og hvite moduler. I motsetning til tradisjonelle strekkoder kan QR-koder lagre informasjon både horisontalt og vertikalt, noe som gir høy datatetthet på liten flate. QR-standarden bruker feilkorrigering, som gjør at koden fortsatt kan dekodes selv om deler er skjult eller skadet, noe som også åpner for fysisk manipulering uten at koden slutter å virke.

Innholdet i en QR-kode er som regel en ren tekststreng. I praksis er dette oftest en URL, men det kan også være kontaktinformasjon, WiFi-info eller instruksjoner som åpner en bestemt app. Selve QR-koden inneholder ingen logikk eller sikkerhet – bare data. Det er det viktig å vite.

Det avgjørende poenget er at brukeren først ser destinasjonen etter at koden er dekodet. Det finnes ingen innebygd måte å visuelt kontrollere innholdet på forhånd.

 

Brukeren ser ikke hvilken nettadresse koden leder til før den er skannet, noe som gjør teknologien sårbar for misbruk dersom koden byttes ut eller manipuleres.

Derfor er QR-koder et sikkerhetsproblem

Teknisk sett er QR-koder problematiske fordi de flytter en ellers tekstbasert sikkerhetskontroll over i et visuelt lag. En URL som tekst kan analyseres, sammenlignes mot kjente domener og stoppes av DNS-filtre, e-postbeskyttelse og nettlesersikkerhet før brukeren klikker. Når den samme adressen pakkes inn i et bilde, forsvinner denne synligheten.

Jan Roger Wilkens, sikkerhetsanalytiker i Telenor Security Operation Centre (TSOC):

Det har for eksempel vært flere tilfeller der noen har funnet falske parkeringsbøter på bilen, med en QR-kode der du blir bedt om å betale, eller at det er satt opp en falsk QR-kode på selve parkeringsautomaten.

De fleste sikkerhetsløsninger analyserer ikke innholdet i bilder i sanntid. QR-koder i e-post, PDF-er, plakater eller klistremerker blir derfor ofte behandlet som ufarlig innhold, selv om de i praksis inneholder en fullverdig lenke.

I tillegg brukes ofte URL-forkortere, midlertidige videresendinger eller legitime domener bak QR-koder. Det gjør at selv avanserte sikkerhetsløsninger kan ha problemer med å avgjøre om destinasjonen er ondsinnet før det er for sent. Resultatet er at QR-koder effektivt fungerer som en omvei rundt mange av dagens sikkerhetsmekanismer – ikke fordi teknologien er avansert, men fordi den utnytter et svakt kontrollpunkt.

Falske QR-koder brukes i phishing-angrep

Sikkerhetseksperter peker særlig på QR-baserte phishing-angrep, ofte omtalt som quishing. Her brukes QR-koder i stedet for vanlige lenker i SMS, e-post eller på fysiske steder.

Thorbjørn Busch, leder for Fraud & Crime i Telenor:

De kriminelle prøver å være så relevante i meldingene sine som mulig, slik at mottakerne er mindre skeptiske til innholdet. Derfor ser vi en massiv økning av disse meldingene når folk flest vet at skattemeldingen nærmer seg.

I Norge er det allerede observert forsøk på svindel knyttet til falske skattemeldinger, der QR-koder leder til nettsider som utgir seg for å være Skatteetaten. Målet er ofte BankID, personopplysninger eller kontoinformasjon.

QR-koder brukes til betalingssvindel

QR-svindel skjer ikke bare digitalt. Den kan også foregå i det fysiske rom. Det er dokumentert tilfeller med falske QR-koder på parkeringsautomater, QR-koder festet over ekte koder på restauranter og falske parkeringsbøter med QR-kode for betaling.

I slike tilfeller tror brukeren at de betaler for parkering eller mat, men havner i stedet på en falsk betalingsside der kortinformasjonen misbrukes.

QR-koder omgår sikkerhetsfiltre

En viktig grunn til at QR-svindel øker, er at QR-koder ofte slipper unna tradisjonelle sikkerhetsmekanismer. Spamfiltre, brannmurer og URL-filtrering er laget for tekstbaserte lenker, ikke bilder.

Når en QR-kode sendes i en e-post eller SMS, blir den ofte ikke analysert på samme måte som en vanlig nettadresse. Dermed kan svindel passere sikkerhetskontroller som ellers ville stoppet angrepet.

Thorbjørn Busch, leder for Fraud & Crime i Telenor:

Regelen bør alltid være at du ikke skal trykke på lenker du får i denne type e-post eller meldinger. QR-kode er også en lenke, og dermed bør du la være å scanne denne. Bruk heller den innloggingen du vanligvis bruker for å komme i kontakt med den virksomheten som meldingen eller e-posten gir seg ut for å komme ifra.

For vanlige privatpersoner er risikoen reell, men ofte begrenset til økonomisk tap eller misbruk av kontoer. For bedrifter og ansatte kan konsekvensene være langt mer alvorlige.

Offentlige ansatte, politikere og personer med tilgang til sensitive systemer er særlig attraktive mål, nettopp fordi QR-baserte angrep kan brukes til å flytte kommunikasjon utenfor kontrollerte miljøer.

Et bilde som inneholder tekst, klær, kart, plakat KI-generert innhold kan være feil.

Selv når koden fremstår legitim og offisiell, finnes det ingen visuell måte å kontrollere destinasjonen på før etter at koden er dekodet.

Kommentarer

Legg inn en kommentar

Populære innlegg fra denne bloggen

KI - kunstig intelligens er tatt i bruk ved Sykehuset Telemark

Bilde
  – Største gevinsten er for pasientene Tidligere har pasienter måttet vente flere timer på akuttmottaket for å få svar, men med denne løsningen slipper de det. Pia Høydalsvik og Andreas Tveten jobber som radiografer på Sykehuset Telemark.  Foto:  Kamilla Haugen Kamilla Haugen Journalist Varden Greit å vite om denne saken ·        Sykehuset Telemark har implementert kunstig intelligens for å raskt oppdage brudd, noe som reduserer ventetiden betydelig. ·        Løsningen, brukt siden september i fjor, analyserer røntgenbilder på 30 sekunder til ett minutt. ·        Radiologers endelige gjennomgang sikrer nøyaktighet, mens KI-verktøyet sparer tid og frigjør ressurser. ·        Løsningen har ført til at 40 % av pasientene har sluppet å unødvendig vente på røntgensvar. ·        Pasientsikkerhet opprettholdes ...
Les mer

Ting du helt unødvendig betaler for på mobilen: uten å vite det

Bilde
  Du betaler kanskje for dette hver måned – uten å vite det.   Noah Romsdal Hallundbæk Sørensen , 15. september 2025 - Teksiden     Mange nordmenn betaler hver måned for mobilfunksjoner og tjenester de verken bruker eller trenger. Det skjer ofte i det stille – gjennom små beløp, prøveperioder eller abonnementer som bare fortsetter. Her er ti typiske feller som tømmer mobilregningen din, uten at du merker det. Unødvendige mobilabonnementer og tilleggstjenester Foto: AYO Production / Shutterstock.com Flere mobilabonnementer inkluderer tillegg som musikk, antivirus eller utlandstjenester du kanskje aldri har brukt. Ofte ble de aktivert ved kjøp – og glemt siden. Betalingsapper du ikke bruker Foto: Vladimka production / Shutterstock.com Mange apper krever engangsbetaling eller månedlig abonnement. Har du fortsatt bruk for den fotoredigerings-appen du lastet ned i fjor? Sjekk hva du faktisk bruker – og hva som bare trekker penger. Strømmetjen...
Les mer

Hvordan finne og installere apper på telefon og nettbrett (fra Seniornett.no)

Bilde
Publisert 27.08.2024   Oppdatert 05.08.2025 Seniornett.no Du leser sikker ofte om ulike apper du kan installere på din telefon eller nettbrett. Men hvor finner du disse appene? Og hvordan får du installert dem? Her får du en innføring. App store og play butikk   For å bruke mobiltelefon (smarttelefon) og nettbrett må du bruke apper. Når du kjøper nytt er det alltid installert en del apper. For eksempel er det på en telefon alltid installert en ringe-app og en sms-app (og en del andre også,  blant annet Kontakter, Kamera). Men full nytte av din telefon og brett får du først nå du installere andre apper. Vanlige apper er Google maps, Facebook, aviser, app for flyselskaper, Ticketmaster for konsertbilletter, Oversetter, epost, parkering. Og i vårt nyhetsbrev har vi gjerne et tips til app i spalten “ukens app”. Noen synes det kan være vanskelig å finne disse appene. Her kommer hjelp til dere. Vi skal forklare hvordan du finner apper og hvordan du installerer dem på din enhet ...
Les mer