Bedragare använder falska QR-koder på laddstationer för att lura dig till skadliga sajter där personlig information kan bli stulen.
QR-koder vid laddstationer har blivit en måltavla för cyberbrottslingar som använder falska koder för att stjäla betalningsuppgifter genom så kallad “quishing”. Dessa koder omdirigerar användare till skadliga webbplatser, där en stor del av offren utsätts för kreditkortsbedrägerier.
Denna typ av bedrägerier beräknas fortsätta öka, och IT-säkerhetsexperter rekommenderar att alltid verifiera QR-koder noggrant och hålla sig uppdaterad om de senaste säkerhetshoten.
Quishing for EV chargers – a new way to steal your money or install malware on your mobile phone.
The car is not affected, yet 🤞 pic.twitter.com/RRSkIZbW0Y
— Denis Laskov 🇮🇱 (@it4sec) September 5, 2024
Vad är quishing?
Quishing är nätfiske i en ny tappning där bedragare använder QR-koder för att lura användare till skadliga webbplatser eller för att installera skadlig programvara. Det är ett relativt nytt verktyg inom cyberbrottslighet.
QR-koder som verkar trovärdiga används av bedragare för att leda dig till bedrägliga webbplatser. På dessa sajter kan bedragare komma åt lösenord, kreditkortsinformation och andra personliga uppgifter.
Enligt en rapport från Egress har quishing-attacker ökat markant, från att utgöra 0,8% av alla nätfiskeattacker 2021 till hela 10,8% år 2024. I många fall används även artificiell intelligens (AI) i quishing för att skapa mer övertygande attacker som är svårare att upptäcka.
Exempel på länder där quishing har rapporterats
Nueva amenaza cibernética llamada #Quishing
Una #estafa que utiliza los códigos QR para robar datos personales, bancarios e incluso infectar el teléfono móvil
#TN2Canarias https://t.co/nya3TINtwS pic.twitter.com/mAJLir3RPg
— RTVC (@RTVCes) September 2, 2024
Quishing-attacker har blivit ett växande problem i flera länder, och även om det sannolikt sker i fler regioner än vad som dokumenterats, finns det konkreta rapporter från följande länder i Europa:
- Belgien
- Nederländerna
- Frankrike
- Spanien
- Italien
- Tyskland
I Sverige har Vattenfall varnat för problemet och betonar att medvetenhet om riskerna är avgörande för att skydda sig mot dessa attacker.
Olika typer av quishing-attacker
Quishing-attacker utnyttjar QR-koder för att genomföra olika typer av cyberattacker, med två vanliga metoder: credential harvesting och malware distribution.
Credential harvesting innebär att bedragare placerar en QR-kod som leder användaren till en falsk webbplats, ofta utformad för att se ut som en legitimat inloggningssida för en tjänst eller plattform. När användaren skannar koden och försöker logga in, begärs deras inloggningsuppgifter, såsom användarnamn och lösenord. Dessa uppgifter skickas då direkt till bedragaren, som kan använda dem för att få obehörig åtkomst till konton, system eller känslig data.
Malware distribution fungerar genom att QR-koder används för att sprida skadlig programvara till användarens enhet. När en användare skannar den falska koden, omdirigeras de till en skadlig webbplats som automatiskt laddar ner och installerar malware, ofta utan att användaren märker något. Denna typ av malware kan infektera enheten och potentiellt stjäla data, övervaka aktiviteter, eller till och med ge angriparen full kontroll över systemet.
Quishing-attacker kan ha långtgående konsekvenser för både individer och organisationer. Social ingenjörskonst används för att lura användare till att lita på QR-koder från vad som verkar vara legitima källor.
Hur du skyddar dig mot quishing
För att skydda dig från quishing är det viktigt att alltid vara uppmärksam när du skannar QR-koder. Använd verifierade källor och officiella appar när du gör betalningar eller delar känsliga uppgifter. Håll också dina säkerhetsprogram uppdaterade för att blockera potentiella hot.
Några allmänna tips för att skydda dig mot quishing:
- Skanna endast QR-koder från pålitliga källor.
- Undvik att skanna QR-koder från misstänkta eller osäkra källor, särskilt sådana som ser ut att ha blivit modifierade.
- Använd alltid de officiella apparna från företag eller tjänster, istället för att lita på QR-koder för åtkomst till webbplatser eller betalningsportaler.
- Var vaksam på vilken information du lämnar efter att du har skannat en QR-kod. Om du snabbt omdirigeras till en sida som kräver personlig eller betalningsinformation, var försiktig och verifiera källan.
Betydelsen av utbildning och medvetenhet
Att öka medvetenheten om farorna med QR-koder är avgörande för både företag och privatpersoner. Enligt studier sker upp till 95% av alla cybersäkerhetsincidenter på grund av mänskliga misstag. Att utbilda personal och användare om riskerna förknippade med QR-koder och andra cyberhot kan minska dessa incidenter avsevärt.
Regelbundna påminnelser och säkerhetsutbildningar på arbetsplatsen är också nödvändiga för att hålla alla uppdaterade om nya hot. Simulerade attacker och praktiska övningar har visat sig förbättra medvetenheten och minska risken för att bli utsatt för attacker med upp till 70%. Kontinuerlig utbildning skapar en kultur där cybersäkerhet är en naturlig del av vardagen.
För att hålla dina system skyddade rekommenderas att du använder de bästa antivirusprogrammen som en extra försvarslinje. Regelbundna säkerhetsuppdateringar och att använda säkerhetstjänster som VPN och multifaktorautentisering är också effektiva sätt att förebygga attacker.
Kommersiella lösningar för att förhindra quishing
Det finns många olika program som du kan välja mellan för att skydda dig mot quishing-attacker. Exempelvis erbjuder Norton antivirus skydd mot skadliga webbplatser och phishing-attacker genom sin Safe Web-funktion, som analyserar webbplatser och blockerar farliga länkar innan du kan klicka på dem. Norton har visat sig blockera 100% av skadliga filer och phishing-försök under tester.