QR-koodien käyttö lisääntyi koronapandemian aikana, kun esimerkiksi monet ravintolat ja yritykset pyrkivät vähentämään kontakteja. Samalla koodien käyttö on yleistynyt myös huijauksissa.
Kyberturvallisuuskeskus kertoo, että niin sanottu ”quishing” on QR-koodin avulla tapahtuvaa tietojenkalastelua, jossa houkutellaan skannaamaan QR-koodi älypuhelimella tai tabletilla. QR-koodit on helppo avata älypuhelimella tai tabletilla, koska niiden kamera tunnistaa QR-koodin.
Rikolliset jakavat QR-koodeja sähköpostin, sosiaalisen median tai jopa fyysisten lentolehtisten ja tarrojen välityksellä.
Aidon näköisen QR-koodin varjolla mainostetaan esimerkiksi erikoistarjouksia tai kehotetaan vastaanottajaa hyväksymään kiireellinen tietoturvapäivitys. “Quishing”-sähköpostiviestissä yritetään luoda kiireen tuntua, kuten muissakin tunnustenkalasteluviestissä, mutta siitä puuttuvat huijausviesteistä tutut linkit ja liitetiedostot.
QR-koodin voi myös määrittää lataamaan haittaohjelmia, kiristysohjelmia ja troijalaisia laitteelle. Ladattujen tiedostojen suorittaminen kuitenkin vaatii käyttäjän toimia. Lisäksi käyttäjän selain voidaan ohjata siirtymään maksusivustoille.
Perinteiset sähköpostisuodattimet luottavat linkkien analysointiin ja sisällön tarkastuksiin haitallisen linkin tunnistamiseksi, mutta haitallisten QR-koodien linkit ohittavat sähköpostisuodatukset, siksi henkilön oma valppaus on tärkeää.
Kyberturvallisuuskeskus on listannut sivuillaan seikkaperäiset ohjeet siihen, miten tietojen kalastelun QR-koodilla voi tunnistaa ja miten tulee toimia, jos epäilee skannanneensa huijarin lähettämän koodin.
– Ennen kuin luet QR-koodin sähköpostiviestistäsi, mieti onko viesti aito vai yritetäänkö sinulta huijata tunnuksia tai muuta arkaluonteisia henkilötietoja. Jos saat QR-koodin ystävältä tekstiviestinä tai työkaverilta sosiaalisen median kautta, varmista lähettäjältä esimerkiksi soittamalla, että QR-koodi on aito, keskus neuvoo.
Jotkut rikolliset yrittävät johtaa kuluttajia harhaan myös muuttamalla laillisia yritysmainoksia tai kiinnittämällä niihin QR-kooditarroja.
Juttua korjattu 7.7. Muokattu kohtaa mahdollisista haittaohjelmista Kyberturvallisuuskeskuksen alkuperäiseen artikkeliin päivitettyjen tietojen pohjalta.