image

FTC slaat alarm over malafide links in QR-codes: ga niet zomaar scannen

dinsdag 12 december 2023, 14:46 door Redactie, 11 reacties

De Amerikaanse toezichthouder FTC slaat alarm over scammers die malafide links in QR-codes verbergen om zo persoonlijke informatie te stelen. Het publiek wordt dan ook aangeraden om geen ongevraagde QR-codes in e-mail of chatberichten te scannen. Eerder dit jaar waarschuwde ook de FBI om geen willekeurige QR-codes te scannen.

Zowel de FTC als FBI wijzen naar een scam waarbij de QR-code van parkeermeters met een malafide QR-code werd overgeplakt. Ook zijn er meerdere scams bekende waarbij aanvallers malafide QR-codes via e-mail versturen en bijvoorbeeld linken naar phishingsites. De FTC heeft dan ook een 'Consumer Alert' afgegeven waarin het aanraadt om altijd de link van onverwachte QR-codes te controleren, geen ongevraagde QR-codes in mail en berichten te scannen en online accounts door middel van sterke wachtwoorden en multifactorauthenticatie te beschermen.

Reacties (11)
12-12-2023, 15:02 door Anoniem
De QR code in de thumbnail komt van https://freesvg.org/go-for-linux-qr-code-vector-image .
Inhoud is de text "Go for Linux".
12-12-2023, 15:03 door Anoniem
no duh...
12-12-2023, 15:38 door Anoniem
QR-codes zijn nu dus ook waardeloos geworden want wij kunnen niet weten of een QR-code veilig is of niet dus scannen wij geen QR-codes meer.
12-12-2023, 18:14 door Anoniem
Door Anoniem: QR-codes zijn nu dus ook waardeloos geworden want wij kunnen niet weten of een QR-code veilig is of niet dus scannen wij geen QR-codes meer.
Een QR-code is niets meer of minder dan een stukje tekst dat in een afbeelding is gecodeerd. Tekst op zich is ongevaarlijk. Een QR-code is dus op zich ook ongevaarlijk.

Waar zit het gevaar dan wel? Die tekst in een QR-code kan een URL zijn, en veel QR-apps herkennen dat en openen volautomatisch die URL in een webbrowser. Dat automatisme is wat gevaarlijk is. Dat doet de QR-code niet, want tekst doet helemaal niets, dat doet de QR-app.

Je kan veilig QR-codes scannen als je een app gebruikt die niet zo stom gebouwd is dat die dingen automatisch gaat uitvoeren maar in plaats daarvan altijd het resultaat van de scan aan je laat zien. Eventuele vervolgacties als het openen van een URL in een browser moet je als gebruiker opstarten, dat moet niet automatisch gaan.

Misschien is het een instelling in de app die je gebruikt, misschien moet je een andere app zoeken om veilig met QR-codes om te gaan. Ik ben zelf geen smartphonegebruiker dus heb ik geen zicht op wat er concreet beschikbaar is. Maar ik weet wel dat een QR-code niet meer dan gecodeerde tekst is en dat het gevaarlijke gedrag zit in programmacode.
12-12-2023, 19:04 door Rubbertje - Bijgewerkt: 12-12-2023, 19:07
Ik heb mijn QR-code scanner alleen op scannen staan. Dus hij opent de url dan niet gelijk, ik zie alleen de url staan. Kan ik zelf altijd nog beslissen of ik die site wil bezoeken... Of zijn er QR-codes die na het scannen gelijk automatisch tot actie overgaan, ongeacht de instellingen die dat beperken?
12-12-2023, 20:17 door Briolet
Er zijn landen waar QR codes op billboards al verboden zijn. In Rusland is recent zo'n verbod ingevoerd nadat bleek dat deze codes soms ook naar vredelievende sites doorverwijzen. Zelfs informatieve QR codes kunnen blijkbaar 'gevaarlijk' zijn.
12-12-2023, 23:29 door Anoniem
Door Rubbertje: Of zijn er QR-codes die na het scannen gelijk automatisch tot actie overgaan, ongeacht de instellingen die dat beperken?
Nee. QR-codes zelf gaan niet tot actie over, die doen niets. Het is altijd een computerprogramma dat iets doet. Als er een automatisme is dat je niet uit kan schakelen dan ligt dat aan de app waarmee je scant, niet aan QR-codes.
Daar gaan al die marketing lui dan met hun dynamische QR codes met niets zeggende links erin.
Saillant detail: Europol stopt review links in een QR code in hun publieke adviezen over ondermeer cyber crime en het gebruik van bluetooth trackers door smokkelaars etc.
Door Briolet: Er zijn landen waar QR codes op billboards al verboden zijn. In Rusland is recent zo'n verbod ingevoerd nadat bleek dat deze codes soms ook naar vredelievende sites doorverwijzen. Zelfs informatieve QR codes kunnen blijkbaar 'gevaarlijk' zijn.
er is in rusland wel meer verboden, waar onder het grootste deel van het Internet.
13-12-2023, 11:02 door Anoniem
Door Drs Security en Privacy: Saillant detail: Europol stopt review links in een QR code in hun publieke adviezen over ondermeer cyber crime en het gebruik van bluetooth trackers door smokkelaars etc.

Omdat ze ervanuit gaan dat lezers daarvan baby & badwater kunnen scheiden.
Maar vooral: omdat hun QR codes sowieso niet naar kwaadwillende URL's zullen pointen, nietwaar?

Maar nu, bijbedoelingen in URL's...
https://www.at5.nl/artikelen/217045/politie-werkt-aan-lint-met-qr-code-voor-nieuwsgierige-omstanders
14-12-2023, 18:52 door Rubbertje
Door Anoniem:
Door Rubbertje: Of zijn er QR-codes die na het scannen gelijk automatisch tot actie overgaan, ongeacht de instellingen die dat beperken?
Nee. QR-codes zelf gaan niet tot actie over, die doen niets. Het is altijd een computerprogramma dat iets doet. Als er een automatisme is dat je niet uit kan schakelen dan ligt dat aan de app waarmee je scant, niet aan QR-codes.

Bedankt voor jouw reactie Anoniem 12-12-2023, 23:29. Dat is dan duidelijk. En zoals ik dus al zei heb ik dat allemaal uitgeschakeld. Dus ik kan er flink op los scannen! :) ;)
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.