Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Denk twee keer na voordat je qr-code gebruikt

Dit artikel delen:

Computable.be Expert

Eddy Willems
Security Evangelist, G DATA CyberDefense AG. Expert van Computable.be voor het topic Security.

Qr-codes zijn overal. We gebruiken ze om websites te openen, apps te downloaden, loyaliteitspunten te verzamelen, betalingen te doen en geld over te maken. De technologie is handig, met als gevolg dat ook cybercriminelen graag gebruikmaken van de technologie.

Een trend is dat cybercriminelen qr-codes aanmaken. Door deze verspreiden, kunnen cybercriminelen hun slachtoffers doorverwijzen naar dubieuze websites of applicaties. Op deze manier proberen ze gevoelige gegevens te bemachtigen, malware op je telefoon te installeren of je over te halen een betaling te doen. Cybercriminelen zullen je dus eerst moeten overhalen om de kwaadaardige qr-code te scannen en erop te klikken of te tikken. Er worden hier allerlei tactieken voor gebruikt.

Reputatie van legitieme partijen

"De gedupeerden worden op straat aangesproken en gevraagd om via een qr-code geld over te maken voor de parkeerautomaat"

Vaak misbruiken cybercriminelen het werk en de reputatie van legitieme partijen. Cybercriminelen doen dit bijvoorbeeld door een qr-code op een poster of menukaart te vervangen door een kwaadaardige code. Zodra een gebruiker de code scant en vervolgens op de url klikt, komt hij of zij terecht op een phishing-site die veel weg heeft van een inlogpagina van een sociaal netwerk of online-bank. Op deze manier ontfutselen ze gevoelige informatie, zoals wachtwoorden of bankgegevens. Vaak plaatsen ze ook banners met een kwaadaardige qr-code of versturen ze mails die verwijzen naar een kwaadaardige qr-code.

Cybercriminelen laten qr-codes soms bepaalde acties uitvoeren. Zodra een slachtoffer de code scant, belt hij of zij automatisch een telefoonnummer tegen betaling. Een andere tactiek is de babbeltruc. De gedupeerden worden op straat aangesproken en gevraagd om via een qr-code geld over te maken voor de parkeerautomaat, omdat de cybercriminelen zelf alleen cash bij zich hebben. Om het geld over te maken, moet het slachtoffer even een code scannen. Vervolgens beland de gedupeerde op een nepsite met een inlogprocedure. De oplichter heeft vervolgens toegang tot de bankrekening van het slachtoffer, met alle gevolgen van dien.

Eindeloos

De mogelijkheden zijn eindeloos voor cybercriminelen. Kwaadaardige qr-codes worden aangetroffen op rekeningen, pamfletten, in presentaties en vrijwel overal waar je informatie of instructies kunt verwachten. Wat kun je doen om te voorkomen dat je per ongeluk een kwaadaardige code scant?

Ten eerste is zaak om goed te letten op de link die verschijnt na het scannen van de code. Als je met een smartphone de camera op de qr-code richt, zal de telefoon voorstellen de url te openen, vervolgens kun je de url controleren. Ziet deze er vreemd uit, klik dan niet op de link. Soms is de url ingekort, wees dan extra voorzichtig want met qr-codes is er geen reden om een url in te korten. Gebruik in plaats daarvan een zoekmachine of ga zelf naar de officiële winkel of het online-adres. Indien een code op een poster staat, is het verstandig een snelle 'fysieke' controle uit te voeren. Het kan namelijk voorkomen dat een kwaadaardige code over de originele code is geplakt.

Speciale scanner

"Alertheid vormt nog altijd het beste wapen om je te beschermen tegen cybercriminelen"

Als je er zeker van wilt zijn dat de qr-code veilig is, doe je er verstandig aan om een speciale scanner te gebruiken die de code controleert op schadelijke inhoud en valse (phishing)websites. Daarnaast vormt alertheid nog altijd het beste wapen om je te beschermen tegen cybercriminelen. Als iemand je op straat vraagt een qr-code wilt scannen, dan kan dit potentieel gevaarlijk zijn. Oplichters zijn goed in het misbruiken van behulpzame mensen. Ze doen vaak alsof ze haast hebben, waardoor je geen tijd hebt om na te denken. Voel je daarom niet schuldig om gewoon weg te lopen als je het niet vertrouwt. Ook als je twijfelt aan de authenticiteit van een qr-code op een folder, is het over het algemeen verstandiger om de code niet te scannen. Het is misschien langzamer, maar je kunt altijd handmatig naar de website gaan voor meer informatie.

Mocht je nu toch slachtoffer zijn geworden, doe dan altijd aangifte bij de politie. Dit kan eenvoudig online via het meldpunt voor internet fraude (BE) of de Fraudehelpdesk (NL). Vaak doen slachtoffers dit niet. Maar met het bewijsmateriaal kunnen de politiediensten onderzoek doen naar de daders. Alle aangiftes samen geven inzicht in hoe cybercriminelen handelen. Hoe meer informatie, hoe groter de kans dat het onderzoek succesvol is. Met jouw aangifte help je dus ook andere slachtoffers. Ook maken de aangiftes het mogelijk nieuwe vormen van cybercrime te herkennen en beveiligingssoftware en systemen erop aan te passen.

Hoewel qr-codes eenvoudig in gebruik zijn en veel mogelijkheden bieden, is het belangrijk om alert te blijven. Veiligheid en gemak gaan immers niet hand in hand. Denk dus twee keer na voordat je een qr-code gebruikt.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Helemaal mee eens dat QR-codes een potentieel gevaar zijn, dus goed dat je het onder de aandacht brengt. Naast de alertheid (dus people) te attenderen en trainen, kan een Mobile Threat Defense oplossing ook vanuit technology dergelijke malafide websites blokkeren. Denk dat een Multi-Layered approach altijd effectiever is in plaats van te vertrouwen op één pilaar.

Quick Response maar wel 2 keer nadenken :-)
Zou het kunnen, dattie meteen gaat bellen of dat je eerst moet bevestigen ? Of net als met die cookies, dat je zowat gestudeerd moet hebben om niet per ongeluk alle tracking en market targeting te accepteren.
Hele leven leren, hele leven alert zijn.
Hoe was het vroeger ook alweer ?


Beter.

Je verwijst naar special scanners, ik citeer:

"Alertheid vormt nog altijd het beste wapen om je te beschermen tegen cybercriminelen"
Als je er zeker van wilt zijn dat de qr-code veilig is, doe je er verstandig aan om een speciale scanner te gebruiken die de code controleert op schadelijke inhoud en valse (phishing)websites.

Kun je die noemen bij naam, ik kan me daar niets bij voorstellen.

Alvast dank.

Hallo Eddy, zonder nu direct Lookout te promoten (omdat ik daar werk - maar je vroeg om een naam ;-)) ), maar denk dat de meeste Mobile security oplossingen wel iets met anti-phishing doen op een mobiel device. Zodra de url benadert wordt, dan zou er ingegrepen moeten worden door de oplossing en de website geblokkeerd worden.

Zie ook een eerder blog van ons. (geen idee of de link gaat werken trouwens als ik m in deze reactie plaats) https://www.lookout.com/blog/qr-code-phishing

Van het doorgegeven van meterstanden tot ‘veilig’ en snel betalen is de QR-code aan een opmars bezig. En logisch dat criminelen hiervan gebruik maken want het is de vraag of de crimineel haast heeft of de slachtoffers die niet handmatig naar een website willen gaan. QR-codes bieden namelijk in de eerste plaats een handige manier om informatie, instructies of andere gegevens uit te wisselen op basis van de verwachting dat er gebruik gemaakt wordt van een smartphone.

Lookout promoten is tegen de regels maar een kniesoor die zich druk maakt om de voorwaarden hoewel ik over laatste nog altijd geen uitsluitsel heb gekregen over landing van (meta)data. Neem aan dat G Data als Duits bedrijf gebruik maakt van servers binnen Europese Unie terwijl Lookout nog altijd gebruik maakt van servers in Amerika.

Ah, daar is 'een oudlid' weer. Onze anonieme rebel. Als je de reactie goed hebt gelezen geef ik specifiek aan dat ik de naam noem omdat hij daar om vraagt en tevens aangeef dat meeste mobile security oplossingen zo zouden moeten werken. Dus volgens mij ben ik niet aan het promoten.

Als Amerikaans bedrijf is het logisch dat wij gebruik maken van servers in Amerika, dat doet elk Amerikaans bedrijf namelijk, zoals microsoft etc. Wij maken ook gebruik van EU servers, dat heb ik vorige keer ook beschreven.

Deze middag hebben we nog een afspraak gehad met een overheidsinstelling samen met privacycompany en zij bevestigden dat wij conform de richtlijnen van de GDPR uitstekend onze processen ingericht hebben, waardoor er geen PII op de servers van Amerika belandt.

Wellicht is het een idee om deze vervelende beschuldigingen richting onze organisatie te stoppen, zeker zolang je het vanuit 'de buitenkant' bekijkt en totaal geen inhoudelijk kennis hebt van onze processen.

@Paul:

Met het risico een welles-niets discussie te starten:
Ik heb ook geen weet van de interne processen bij Microsoft365, Google Workspace en een paar anderen. Maar ik zie wel akelig veel netwerk pakketjes richting de US verdwijnen op het moment dat ik een van deze in gebruik heb… ondanks het statement dat ze GDPR/AVG-compliant zijn en gebruik maken van servers in Europa…!

Hallo Will

Dank voor je reactie. Laat ik voorop stellen dat ik ook niet van de welles-nietes discussies ben. Ik ben inhoudelijk niet met de pakketjes van Microsoft en Google bezig, eerlijk gezegd, ook al lees ik af en toe natuurlijk ook berichten met daarin twijfels over hoe men te werk gaat. We hebben te maken met GDPR/AVG en daar voldoen wij aan. En als dit (binnenkort) wijzigt, dan zullen we hier ook gewoon weer aan voldoen. Daar kan je ook geen welles-nietes discussie over starten toch ;-)

Sorry Paul, maar ik lees alleen wat je bedrijf zelf schrijft in een keurige Nederlandse uitleg over hoe de processen in elkaar steken:

https://www.lookout.com/legal-home

Als processen over gegevensoverdracht anders zijn dat hier beschreven – wat me gezien wetgeving niet waarschijnlijk lijkt – dan is het handig om daar melding van te doen. Zie zelf de onderzoeks- en handhavingsbevoegdheden van de Amerikaanse Federal Trade Commission welke voor een dispuut zorgen aangaande de privacy waarborgen voor Europese ingezetenen.

Als rebel ben ik geen dompteur van de papieren tijgers doordat ik inhoudelijk bekend ben met de (informatie)processen en weleens wil weten welke functionarissen je gesproken hebt, de afdeling inkoop is tenslotte vaak te goed van vertrouwen als het om de mooie beloften gaat. Naar mijn opinie gaat welles-nietes discussie over AVG/GDPR vooral om het ‘privacy-by-design’ principe waarbij ik wijs op het proces omdat een minimalisatie van gegevens een uitgangspunt hierin is. Een multi-layered approach komt dan ook niet overeen met AVG/GDPR als we kijken naar het doel en de gegevensdoorgifte.

Don’t shoot the messenger maar als het om malafide QR-codes gaat wat heb je dan werkelijk nodig om de gebruiker tegen zichzelf in bescherming te nemen?

Oudlid. Je doet hier een aanname dat wij mooie beloften aan de afdeling inkoop gedaan hebben, terwijl we het gesprek hebben gehad met de privacy jurist van de betreffende organisatie en een extern bureau. Die zouden heus wel door mooie beloften heenprikken, niet? En uiteraard ga ik de gegevens van functionarissen niet delen, dat zou jij toch moeten weten met al je privacy-kennis.

Dit artikel gaat over QR-codes en daarin gaf ik layered defense aan als zijnde een technische oplossing op het mobiel device waarmee je QR-codes scant en een persoon (die als last-line of defense kan acteren). Begrijp niet wat hier dan overeenstemming AVG/GDPR niet overeen komt.

Als je het dan toch over minimalisatie van gegevens als uitgangspunt hebt. Onze oplossing wordt uitgerold naar mobiele devices door middel van een Mobile Device Management oplossing. Met de uitrol hanteren we het principe van privacy-controls. Hierdoor krijgt onze App een zogenaamd “MDM Device-ID” van de MDM meegestuurd. In de MDM zelf wordt ook een random (ander) MDM Device-ID gecreëerd en deze twee ID’s worden binnen de MDM aan elkaar gelinkt. Door deze constructie hebben we binnen onze oplossing dus geen persoonsgegevens nodig (en zien we in onze console alleen MDM-Device-ID nummers). Alleen de beheerders van de MDM kunnen op basis van het MDM-Device-ID de daadwerkelijk gebruiker van het device herleiden. Aangezien dus alle relevante persoonsgegevens zich in een andere oplossing (fabrikant) begeven, voldoen we hiermee uitstekend aan minimalisatie.

En daarmee wil ik het ook laten. Welles-nietes, gelijk hebben-gelijk krijgen. Ik heb aangegeven dat wij voldoen aan GDPR en ook je nu wat meer achtergrond gegeven. Onze vele klanten vinden dit een uitstekende (privacy vriendelijke) oplossing.

Paul,

Dank voor de uitleg want je ontweek niet alleen mijn vraag maar ook die van Will over wat er nu naar Amerika gaat. En ja, dan moet ik aannames gaan doen want welles-nietes wees ik alleen maar op het feit dat er data naar Amerika stroomt, wat voor data is ook voor Will een vraag als deze buiten het bedrijfsnetwerk om gaat via het zelf meegebracht Internet van 4/5G.

Aangaande het Juvenalis dilemma van wie controleert de wachters geloof ik niet in beloften die zoals jezelf aangeeft nogal opportunistisch zijn, we hebben er geen actieve herinnering meer aan maar een klokkenluider maakte duidelijk dat spionage gewoon het nieuwe verdienmodel van de cloud is. Zeggen dat je aan de GDPR voldoet is niet genoeg als we kijken naar een omkering van de bewijslast zoals elke privacy jurist in Nederland kan beamen. Want het kopen van een tool, ongeacht de leverancier, ontslaat organisaties niet van de verantwoordelijkheid voor het opstellen van intern beleid aangaande rechten van betrokkenen:

1. Inzage van de gegevens
2. Correctie en wissen van de gegevens
3. Recht op beperking van de verwerking
4. Overdraagbaarheid van de gegevens
5. Bezwaar tegen geautomatiseerde besluitvorming en profilering

En ja, je psuedonomisering is één van de technische instrumenten om tot een privacy-by-design principe te komen maar de vraag is wel waar een ontkoppeling van persoon naar (random) ID plaats vindt want de relevante persoonsgegevens scheiden om ze in een andere oplossing weer te koppelen is precies één van de punten waardoor het Europese Hof tot de conclusie kwam dat er nog onvoldoende privacy waarborgen zijn voor een overdracht van persoonsgegevens. Tenslotte lijkt meekijken over schouder van een medewerker met MDM me een personeelsvolgsysteem. Ik vrees namelijk dat je toch echt in de datastroom zelf mee moet kijken om de gebruiker tegen zichzelf te beschermen als het om phising websites e.d. gaat.

Wat betreft de functionarissen vroeg ik niet om naam en rugnummer maar om de rollen want de ondernemingsraad kan bijvoorbeeld bezwaar tegen geautomatiseerde besluitvorming en profilering maken, MDM en BYO schijnen namelijk nog altijd geen goede vrienden te zijn als het gaat om de privacy.

Hallo oud lid. Goed om te lezen dat het nu duidelijk er is voor je. Zoals je zult begrijpen ben ik geen expert op het gebied van privacy en doe ik het met de kennis die ik heb. In gesprekken met organisaties schakel ik daarom ook intern weer experts bij. Ieder zijn kwaliteiten toch.
PS. het blokkeren van url's gaat op basis van databases uiteraard en analyseren wij alleen de requests en niet de content van het bericht waarin de url zat (sms, mail, teams etc). Zoals je ook kunt lezen op onze website hebben beheerders geen inzicht in de browse-historie van het device. Prettige dag nog

Hallo allemaal,
Ik was eventjes op vakantie (nog steeds trouwens) vandaar het late antwoord. De qr-code scanner waarvan ik sprak is de qr-code scanner van je favoriete antivirus of security product. De meeste security producten hebben ook apart een qr-code scanner, zoals G DATA. Die scant en controleert automatisch de link. Gr Eddy

Veel plezier op/met je vakantie Eddy maar discussie ging uiteindelijk om de privacy impact, het meekijken over de schouder van een gebruiker door links te controleren gaat meer om wat G DATA - of in het geval van Paul om wat Lookout - met deze data doet.

Ik zag inderdaad net dat het over privacy en dergelijke ging. G DATA heeft hier ter verduidelijking over de producten en webpagina’s verschillende pagina’s over ( https://www.gdatasoftware.com/privacy ) . Het is inderdaad raadzaam om dit na te gaan bij de betrokken leveranciers van security producten. ;-)

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2022-07-20T09:51:00.000Z Eddy Willems
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.