Hoe u zich kunt beschermen tegen een kwaadaardige QR-code

Je hebt vast wel eens een afbeelding gezien van een vierkant dat bestaat uit vele kleinere vierkantjes in een restaurant of openbare ruimte, zoals een doolhof of mozaïek van twee contrasterende kleuren, meestal zwart en wit. Dit zijn QR-codes, een technologie die snelle en directe toegang tot bepaalde informatie mogelijk maakt.

Ze zijn eenvoudig te gebruiken: je hoeft alleen maar de code te scannen met de camera van een mobiel apparaat en binnen enkele seconden kun je door verschillende gegevens bladeren. Deze codes zijn populair geworden, maar hoewel ze voordelen bieden op het gebied van toegankelijkheid, brengt het wijdverbreide gebruik ervan ook verschillende risico's met zich mee.

Een QR-code, of Quick Response-code, is in wezen een soort streepjescode die gemakkelijk te lezen is op digitale apparaten en informatie opslaat in een reeks pixels in een raster. Hoewel ze er misschien eenvoudig uitzien, kunnen QR-codes een grote hoeveelheid gegevens opslaan, maar ongeacht hun inhoud zou het scannen ervan de gebruiker direct toegang moeten geven tot de informatie, aldus de website van cybersecuritybedrijf Kaspersky.

Ze worden over het algemeen gebruikt om door te verwijzen naar een URL, om toegang te krijgen tot telefoonnummers of e-mailadressen, voor menu's of digitale productportfolio's, om documenten te downloaden , ook als directe link om een applicatie te downloaden, om online accounts te verifiëren en inloggegevens te verifiëren, om toegang te krijgen tot een Wi-Fi-netwerk - omdat ze encryptie- en wachtwoordinformatie opslaan - en om betalingsinformatie te verzenden en ontvangen, naast andere doeleinden.

Net zoals het niet veilig is om op een link of bestand op internet te klikken, is het ook niet veilig om een QR-code te scannen. Omdat het menselijk oog deze codes niet kan ontcijferen, kunnen aanvallers ze gemakkelijk zo wijzigen dat het scannen ervan je naar een andere bron leidt zonder dat de gebruiker doorheeft dat het een kwaadaardige actie is.

Het scannen van kwaadaardige QR-codes brengt meerdere risico's met zich mee. Technologiebedrijf Microsoft wijst er bijvoorbeeld op dat aanvallers legitieme codes kunnen vervangen door valse codes, omdat QR-codes direct links openen. Dit kan worden gebruikt voor phishing , een tactiek waarbij vervalste webpagina's worden vermomd als pagina's van legitieme instanties (zoals banken, sociale netwerken of bedrijven) om mensen te misleiden en zo gevoelige informatie te verkrijgen, zoals wachtwoorden of bankgegevens.

Volgens een publicatie van het Canadian Centre for Cyber Security kunnen criminelen op dezelfde manier hun online-activiteiten volgen door gebruikers naar verschillende websites te leiden. Dit betekent dat hun gegevens kunnen worden verzameld en gebruikt voor commerciële doeleinden zonder hun toestemming. Ook kunnen ze metagegevens verzamelen, zoals het type apparaat waarmee de code is gescand, het IP-adres en de locatie.

Bovendien voeren sommige websites directe downloads uit, zelfs zonder toestemming, waardoor het simpelweg openen van een webpagina door een code te scannen al kan leiden tot het downloaden van schadelijke software . "Mobiele apparaten zijn over het algemeen minder veilig dan computers of laptops, en omdat QR-codes via mobiele apparaten worden gelezen, verhoogt dit de potentiële risico's", aldus Kaspersky.

Volgens Microsoft kunnen hackers een QR-code fysiek vervangen in een openbare ruimte, maar ook e-mails versturen met nepberichten zoals: "Uw creditcardgegevens zijn verouderd, scan de QR-code om dit te verhelpen."

Volgens een bericht van het Office of Technology Security van Duke University zijn er verschillende acties die gebruikers kunnen helpen zichzelf te beschermen. Bijvoorbeeld het controleren van de code op verdachte elementen: ziet de omringende tekst of het bericht er correct uit? Ziet het logo in het midden van de code er legitiem uit? Komt het ontwerp van de code overeen met de kleuren en specificaties van het merk? En zo verder, tot in de kleinste details.

Het is ook belangrijk om de URL te controleren voordat u deze opent . De meeste mobiele QR-lezers geven een voorbeeld weer wanneer u de code scant. U kunt dit bekijken voordat u de link opent om te zien of de URL overeenkomt met wat u zoekt. Controleer op tekenen van kwaadaardigheid, zoals een vreemde naam in de URL, voordat u klikt.

Wanneer u de webpagina opent, controleer dan of het adres begint met https:// en of de URL een hangslot heeft of door uw browser als veilig is gemarkeerd.

Bovendien raden cybersecuritybedrijven af om persoonlijke informatie op deze websites te delen, tenzij u de bron volledig vertrouwt.

Een andere actie die u beter kunt vermijden, is het downloaden van apps van derden om QR-codes te scannen , aangezien moderne smartphones de functie voor het scannen van codes in de camera-app hebben geïntegreerd. Een andere optie om ze te lezen is de Google Lens- functie; om deze te gebruiken, moet u de Google-app op uw mobiele apparaat openen. U ziet dan een camerapictogram met een stip in de rechteronderhoek aan het einde van de zoekbalk.

Bovendien wordt het niet aanbevolen om QR-codes te scannen die op openbare plaatsen zijn geplaatst, zoals stations of straatnaamborden , of om QR-codes te scannen die in e-mails of sms-berichten van dubieuze bronnen zijn ontvangen. Als u de afzender (het merk, bedrijf, entiteit, enz.) die ze heeft gegenereerd niet kunt verifiëren, kunt u ze het beste niet lezen.

Tot slot is het een goed idee om uw apparaat zo in te stellen dat er om toestemming en verificatie wordt gevraagd voordat er een QR-code wordt ingevoerd. Zorg ervoor dat uw apparaat up-to-date is en overweeg om een antivirusprogramma te gebruiken om uzelf te beschermen tegen deze en andere digitale risico's. Zorg er wel voor dat dit van een vertrouwd bedrijf is.

FERNANDA ORTIZ HERNÁNDEZ (*)

El Universal (Mexico) - GDA

(*) Met informatie van EL TIEMPO