Nye data fra Check Point Software Technologies viser, at QR-koder er en angrebstaktik, der bruges i stigende grad til at opnå adgang til ofrenes personlige data.
Det kan vise sig at være kritisk for danskernes it-sikkerhed, idet QR-koder er blevet lig med ekstra sikkerhed, når danskerne benytter sig af MitID.
Check Point Software Technologies har netop indsamlet nye tal, som viser, at der lige nu opleves en stor stigning i svindlen med QR-koder. Således viser data, at der i august og september i år var en stigning på 587 pct. i mængden af phishingmails med falske QR-koder (quishing-mails). I disse mails udgiver svindlerne sig for at være store virksomheder eller offentlige myndigheder, og de beder modtageren om at afgive eller opdatere personlige oplysninger – fuldstændig som i phishingmails.
Men i stedet for et direkte link indeholder quishing-mails en QR-kode, der ved scanning dirigerer modtageren til en falsk hjemmeside. Herefter kan svindlerne ved hjælp af de indsamlede oplysninger få adgang til vigtige konti, hvilket kan resultere i både identitetstyveri og økonomiske tab.
“I Danmark er tendensen med quishing særlig foruroligende, fordi MitID med sin opdatering tidligere i år netop anvender QR-koder som et ekstra sikkerhedslag til verificering af brugernes identitet. Dermed bliver QR-koder associeret med høj grad af sikkerhed, og når tilliden til et område stiger, sænker brugerne typisk paraderne. Det er menneskelig adfærd. Så når mere end fem millioner danskere i dag anvender MitID, vil den øgede tillid til QR-koder give svindlere en nemmere indgangsvinkel til at lokke følsomme personoplysninger ud af flere danskerne,” fortæller Balder Borup, der er Security Engineer hos Check Point Software Technologies i Danmark, og fortsætter:
“Budskabet om ikke at klikke på links fra ukendte afsendere er efterhånden udbredt. Men svindlerne finder hele tiden på nye angrebsmetoder, og her er falske QR-koder i kraftig stigning. Derfor er det blot et spørgsmål om tid, før vi ser de første succesfulde svindelnumre og cyberangreb ved hjælp af quishing i Danmark. Så det er essentielt, at både it-brugere og borgere kender til disse farer samtidig med, at der opbygges gode it-sikkerhedsberedskaber, der forhindrer de skadelige quishing-mails i at nå frem,” påpeger Balder Borup.
Quishing har endnu ikke været anvendt i større kendte angreb i Danmark, men har allerede opnået bevågenhed i USA, hvor en stor energivirksomhed har været under angreb.