Hackernes nye våben: Klistermærker med falske QR-koder på reklameskilte

Illustration: leowolfert/Bigstock
Næste gang du scanner en QR-kode på en plakat, skal du lige sikre, at det ikke er et klistermærke, som hackere har smækket oven på. Det er nemlig blevet en populær angrebsvej.

Det er bøvlet at indtaste webadresser på en smartphone, så derfor har QR-koderne spredt sig hastigt i landskabet, især på reklameskilte og plakater.

Men de todimensionelle stregkoder kan føre dig i en helt forkert retning, hvis der er pillet ved dem. It-kriminelle er nemlig begyndt at kliste nye koder oven på de rigtige og kan på den måde få lokket folk til at besøge websider med farlig kode. Det skriver The Register.

Problemet er, at man ikke med det blotte øje kan se, hvad en QR-kode rummer af data, men ofte tror, at det må være ganske legitimt.

Version2 talte for nylig med Anders Nilsson, teknisk direktør hos antivirusfirmaet Eurosecure, og han nævnte også problemerne med de luskede QR-koder.

»Man ser ikke, hvor linket peger hen, når man scanner det, og så ved man ikke, hvad der sker. Et link udformet på en bestemt måde kan få en telefon til at begynde et factory reset,« forklarede han.

Ud over at tjekke for klistermærker hen over den oprindelige kode bør man derfor altid tjekke webadressen fra QR-koden, før man klikker sig videre. Er URL’en forkortet via en tjeneste som for eksempel bit.ly, kræver det dog også, at man får det forkortede link ’pakket ud’, før man kan være sikker på adressen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#4 Svante Jørgensen

"Et link udformet på en bestemt måde kan få en telefon til at begynde et factory reset" Øh.. ja, hvis producenten ikke har en millimeter forstand på basal IT sikkerhed? Så er det sikkert rigtigt nok. I de eneste eksempler på dette (hvor en speciel SMS også kunne fabriksgendanne mobilen) som jeg har hørt om, blev der udsendt en fejlrettelse før nyheden spredte sig, så det er altså ikke noget seriøst problem og kræver bare at producenten slår den "feature" fra.

  • 5
  • 0
#6 Jesper Lund Stocholm Blogger

Øh.. ja, hvis producenten ikke har en millimeter forstand på basal IT sikkerhed? Så er det sikkert rigtigt nok. I de eneste eksempler på dette (hvor en speciel SMS også kunne fabriksgendanne mobilen) som jeg har hørt om, blev der udsendt en fejlrettelse før nyheden spredte sig, så det er altså ikke noget seriøst problem og kræver bare at producenten slår den "feature" fra.

Hvis vi et øjeblik stopper med al den her "hand-waving", så ændrer alle (bort)forklaringerne jo ikke på, at "risikobetonet adfærd" nu ikke længere indebærer at surfe efter porno og piratsoftware og lignende men også at scanne umiddelbart uskadeligt udseende QR-koder på fx Bus-reklamer.

Det synes jeg faktisk er en relativt god pointe.

Det hjælper jo ikke at producenten har lavet en opdatering til programmet, hvis den ikke installeres. Jeg oplever meget tit, at jeg ser telefoner, hvor der ligger snesevis af opdateringer klar til både OS og apps, og så opstår problemet jo.

  • 12
  • 1
#8 Bjørn Damborg Froberg

Jeg kan huske at jeg i November 2011 lavede et oplæg på et mobil-sikkerheds arrangement hvor jeg netop nævnte disse QR koder - og hvordan de potentielt kunne udnyttes til andet end "gode" ting på sigt.

Lidt overrasket over at udviklingen er kommet så hurtigt til trods. Synes dog ikke jeg har set nogen eksempler i DK endnu?

  • 1
  • 0
#11 Johnnie Hougaard Nielsen

At den leder til en skadelig url gør den da mere ondsindet end falsk.

Hvis den er sat op på en reklame (måske oveni den rigtige), forledes brugere til at tro at den fører til mere info om produktet. Så den kan være både falsk og ondsindet, uafhængigt af hinanden.

Basalt set svarer det at scanne en QR kode til at trykke på et ukendt link. Det giver altså anledning til at få afprøvet "godtroenheden" hos både software og brugere :-)

  • 2
  • 0
Log ind eller Opret konto for at kommentere