QR codes bestaan al sinds 1994 maar worden de laatste jaren steeds vaker toegepast voor consumententoepassingen. Het gebruik gaat uiteraard gelijk op met de verspreiding van smartphones. Cybercriminelen maken graag gebruik van breed toegepaste en makkelijk te gebruiken oplossingen. Zo bereiken ze veel en makkelijke slachtoffers.
Ze kunnen worden gebruikt om betalingen te doen, menu's in restaurants te downloaden, voor algemene marketingdoeleinden en tal van andere toepassingen. Ze kunnen ook door cybercriminelen worden gebruikt om informatie te stelen, dus het loont de moeite om er bewuster mee om te gaan.
Omzeilen van maatregelen
De meeste anti-phishing software is niet in staat QR codes te herkennen, het wordt gezien als een onschuldig plaatje.
Eindgebruikers zijn inmiddels gewend om goed te kijken voordat ze op een toegestuurde link klikken, maar QR codes lijken nog steeds onschuldig.
De QR code wordt niet geopend op de goed beveiligde laptop van de zaak, maar op een smartphone.
Phishing
Doelwitten van een phishing campagne ontvangen een QR code in de mail met het verzoek om deze te scannen. De bekende verhalen worden uit de kast gehaald, updaten van een profiel, bekijken van een factuur etc.
Malware
Het scannen van de code kan worden gebruikt om gebruikers naar een website te sturen die heimelijk een download van malware activeert, of naar een fake app store die de gebruiker verleidt om een kwaadaardige applicatie te installeren. Malware zoals keyloggers kunnen vervolgens worden gebruikt om inloggegevens en gegevens te stelen voor verdere aanvallen, of je smartphone kan zelfs worden overgenomen om sms-berichten te verzenden naar een duur betaalnummer.
De aanpak
QR codes zijn leesbaar door smartphones, maar niet door mensen, en je weet dus niet precies waar je uit gaat komen als je een QR code scant. Maak medewerkers dus bewust, een QR code kan net als een link misbruikt worden voor phishing en andere vormen van cybercriminaliteit.
Zorg er voor dat medewerkers verdachte situaties snel kunnen melden aan ICT Support of Security Officer. Dat voorkomt dat meerdere medewerkers slachtoffer worden.