FTC slaat alarm over malafide links in QR-codes: ga niet zomaar scannen
De Amerikaanse toezichthouder FTC slaat alarm over scammers die malafide links in QR-codes verbergen om zo persoonlijke informatie te stelen. Het publiek wordt dan ook aangeraden om geen ongevraagde QR-codes in e-mail of chatberichten te scannen. Eerder dit jaar waarschuwde ook de FBI om geen willekeurige QR-codes te scannen.
Zowel de FTC als FBI wijzen naar een scam waarbij de QR-code van parkeermeters met een malafide QR-code werd overgeplakt. Ook zijn er meerdere scams bekende waarbij aanvallers malafide QR-codes via e-mail versturen en bijvoorbeeld linken naar phishingsites. De FTC heeft dan ook een 'Consumer Alert' afgegeven waarin het aanraadt om altijd de link van onverwachte QR-codes te controleren, geen ongevraagde QR-codes in mail en berichten te scannen en online accounts door middel van sterke wachtwoorden en multifactorauthenticatie te beschermen.
Inhoud is de text "Go for Linux".
Waar zit het gevaar dan wel? Die tekst in een QR-code kan een URL zijn, en veel QR-apps herkennen dat en openen volautomatisch die URL in een webbrowser. Dat automatisme is wat gevaarlijk is. Dat doet de QR-code niet, want tekst doet helemaal niets, dat doet de QR-app.
Je kan veilig QR-codes scannen als je een app gebruikt die niet zo stom gebouwd is dat die dingen automatisch gaat uitvoeren maar in plaats daarvan altijd het resultaat van de scan aan je laat zien. Eventuele vervolgacties als het openen van een URL in een browser moet je als gebruiker opstarten, dat moet niet automatisch gaan.
Misschien is het een instelling in de app die je gebruikt, misschien moet je een andere app zoeken om veilig met QR-codes om te gaan. Ik ben zelf geen smartphonegebruiker dus heb ik geen zicht op wat er concreet beschikbaar is. Maar ik weet wel dat een QR-code niet meer dan gecodeerde tekst is en dat het gevaarlijke gedrag zit in programmacode.
Saillant detail: Europol stopt review links in een QR code in hun publieke adviezen over ondermeer cyber crime en het gebruik van bluetooth trackers door smokkelaars etc.
Omdat ze ervanuit gaan dat lezers daarvan baby & badwater kunnen scheiden.
Maar vooral: omdat hun QR codes sowieso niet naar kwaadwillende URL's zullen pointen, nietwaar?
Maar nu, bijbedoelingen in URL's...
https://www.at5.nl/artikelen/217045/politie-werkt-aan-lint-met-qr-code-voor-nieuwsgierige-omstanders
Bedankt voor jouw reactie Anoniem 12-12-2023, 23:29. Dat is dan duidelijk. En zoals ik dus al zei heb ik dat allemaal uitgeschakeld. Dus ik kan er flink op los scannen! :) ;)
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
