Kredit:Pixabay/CC0 Public Domain
Coinbase Super Bowl-reklamen som innehöll en studsande QR-kod satt till musik var så populär att den fick kryptovalutaappen att tillfälligt krascha. Vad säger detta oss om hur dessa koder används och hur säkert det är att skanna? Professor Sarra Alqahtani i Wake Forests datavetenskap svarar på frågor om QR-koder, cyberbrottslighet och hur du kan skydda din personliga information.
Som datavetenskapsprofessor som studerar cybersäkerhet, vad var din reaktion på Coinbase-reklamen?
Det var en rolig reklam att titta på, men jag började genast tänka på hur normaliserad den här tekniken blir utan en motsvarande medvetenhet om dess säkerhetsproblem. Som med all ny teknik kommer säkerhet vanligtvis som en eftertanke inte bara för utvecklarna utan också för användarna. Jag hoppas på ett försök att utbilda människor om säkerhetsproblem med QR-koder och hur man skyddar deras integritet.
Hur troligt är det att privat information kan äventyras genom att skanna en QR-kod?
QR-koden kan ersättas med en skadlig kod (det enklaste sättet är att fysiskt klistra in en kod ovanpå en annan), vilket kan leda användaren till en falsk webbplats som liknar den ursprungliga webbplatsen. Hackaren kan sedan plantera en liten programvara (skadlig programvara) i användarens telefon för att spåra och samla in deras data.
Vad gör hackare med informationen de stjäl?
De kan stjäla användarnamnen och lösenorden vi använder i olika appar och webbplatser och sälja dem på den mörka webben. Denna data kan användas för att gissa användarens/anställdas autentiseringsuppgifter under andra attacker – som det som hände i Colonial Pipeline ransomware-attacken.
Finns det något sätt att veta om en QR-kod är säker?
Vi kan inte känna igen någon skillnad mellan legitima och skadliga koder med våra ögon, men när vi skannar koden bör vi vara uppmärksamma på webbplatslänken innan vi klickar på den. Det är därför det rekommenderas att inkludera webbplatslänken med koden när du delar den offentligt.
Vad ska vi titta efter när vi kontrollerar en webbadress innan vi klickar?
Om det finns en säkerhetsrisk kommer URL:en att se ut som den ursprungliga URL:en men med små ändringar. Till exempel, istället för www.yahoo.com, kan hackaren använda yaho0.com som ser väldigt likt ut. Den här typen av trick faller inom området nätfiskeattacker som har en lång historia inom cybersäkerhet.
Vilket är ditt bästa råd för att skydda personlig information när du använder QR-koder?
Jag rekommenderar att inte skanna QR-koderna så mycket som möjligt och använda pappersmanualer och menyer. Jag rekommenderar också att du använder de inbyggda kamerorna i smartphones istället för att använda appar från tredje part eftersom de inbyggda kamerorna visar webbplatslänken och ber användaren att klicka på den, vilket vanligtvis inte är fallet med appar från tredje part.
Vad ska du göra om du misstänker att du har klickat på en falsk webbplats och skadlig programvara har installerats?
Det beror på vilken telefon du använder men i allmänhet bör du rensa webbläsarens cache, säkerhetskopiera dina filer, ändra dina referenser. Om din telefon inte har inbyggt skydd måste du använda programvara för upptäckt av skadlig programvara för att upptäcka och ta bort eventuell skadlig programvara.
Har du en bok eller resurs som du kan rekommendera för dem som vill veta mer om QR-koder?
Läs FBI:s public service-meddelande, "Cyberkriminella manipulerar med QR-koder för att stjäla offermedel."