Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

QR-koodin käyttö tietojenkalastelussa yleistyy

Tietoturva Nyt!

QR-koodien käyttö lisääntyi koronapandemian aikana, kun esimerkiksi monet ravintolat ja yritykset pyrkivät vähentämään kontakteja. Samalla QR-koodien käyttö on yleistynyt myös huijauksissa.

Quishing on QR-koodin avulla tapahtuvaa tietojenkalastelua, jossa houkutellaan skannaamaan QR-koodi älypuhelimella tai tabletilla. QR-koodit on helppo avata älypuhelimella tai tabletilla, koska niihin on sisäänrakennettu kamera, joka tunnistaa QR-koodin.

Rikolliset jakavat QR-koodeja sähköpostin, sosiaalisen median tai jopa fyysisten lentolehtisten ja tarrojen välityksellä. Aidon näköisen QR-koodin varjolla mainostetaan esimerkiksi erikoistarjouksia tai kehotetaan vastaanottajaa hyväksymään kiireellinen tietoturvapäivitys. “Quishing”-sähköpostiviestissä yritetään luoda kiireen tuntua, kuten muissakin tunnustenkalasteluviestissä, mutta siitä puuttuvat huijausviesteistä tutut linkit ja liitetiedostot.

Esimerkkikuva tietojenkalasteluviestistä, jossa on mukana QR-koodi. Kyberturvallisuuskeskus on muokannut kuvaa.

Kuinka tunnistan QR-koodilla tehtävän kalastelun?

  • Älä skannaa QR-koodia tuntemattomasta lähteestä. Käsittele QR-koodia kuin linkkiä. Ennen kuin luet QR-koodin sähköpostiviestistäsi, mieti onko viesti aito vai yritetäänkö sinulta huijata tunnuksia tai muuta arkaluonteisia henkilötietoja. Jos saat QR-koodin ystävältä tekstiviestinä tai työkaverilta sosiaalisen median kautta, varmista lähettäjältä esimerkiksi soittamalla, että QR-koodi on aito.
  • Varo lyhennettyjä linkkejä. Jos näyttöön tulee lyhennetty URL-osoite, kun viet kameraa QR-koodin päälle, sinulla ei ole mitään keinoa tietää, minne linkki sinut vie.
  • Ole valppaana tietojenkalastelukampanjoiden tunnusmerkkien suhteen. Rikolliset vetoavat monesti kiireeseen ja ihmisten tunteisiin.
  • Ole erittäin varovainen, jos QR-koodi vie sinut sivustolle, jossa pyydetään henkilökohtaisia tietoja, kirjautumistietoja tai maksua. Älä anna sähköpostitunnuksia tai luottokorttisi tietoja.
  • Jotkut rikolliset yrittävät johtaa kuluttajia harhaan muuttamalla laillisia yritysmainoksia tai kiinnittämällä niihin QR-kooditarroja.
  • Varo väärennöksiä. Jos et ole varma QR-koodin aitoudesta, voit pyytää yritystä tarkistamaan sen. Suurin osa yrityksistä asentaa pysyvästi skannattavia QR-koodeja laitteisiinsa laminoimalla koodin tai sijoittamalla sen lasin taakse. Usein ne sisältävät myös yrityksen logon.

Mitä voi tapahtua, jos skannaan haitallisen QR-koodin?

QR-koodit eivät vain ohjaa sinua URL-osoitteeseen. On olemassa muutamia eri tapoja, joilla huijarit käyttävät QR-koodeja henkilökohtaisten tietojen varastamiseen tai muihin rikoksiin:

  1. Sinut voidaan ohjata tietojenkalastelusivulle.
    Rikolliset voivat tehdä internetsivustoja, jotka muistuttavat aitoa sisältöä. Sivustolla voidaan pyytää tietojasi, kuten nimi, sähköpostiosoite, salasana, luottokortin tiedot tai puhelinnumero.
  2. QR-koodin voi myös määrittää lataamaan haittaohjelmia, kiristysohjelmia ja troijalaisia laitteelle. Ladattujen tiedostojen suorittaminen kuitenkin vaatii käyttäjän toimia. Lisäksi käyttäjän selain voidaan ohjata siirtymään maksusivustoille.

Mitä tehdä, jos skannasin väärennetyn QR-koodin?

Jos skannasit QR-koodin ja huomasit tulleeksi huijatuksi, voit toimia seuraavasti

  • Jos annoit sähköpostitunnuksesi käyttäjätunnuksen ja salasanan, vaihda salasanasi heti. Jos kyse on työpaikkasi sähköpostista, ilmoita asiasta IT-tuelle. Varmista, että käytät tileissäsi vahvoja salasanoja. Lisää suojaustasoa ottamalla käyttöön kaksivaiheinen todennus (MFA).
  • Ilmoita heti pankkiisi, jos epäilet luottokorttitietosi- tai pankkitunnuksesi vaarantuneen.
  • Jos laitteellesi latautui haittaohjelmia, katkaise yhteys Wi-Fi- tai matkapuhelinverkkoosi heti, kun huomaat, että tiedosto saattaa olla haitallinen. On pienempi riski, että haittaohjelma saattaa lähettää arkaluontoisia tietojasi hakkereille, jos internetyhteyttä ei ole.
  • Varmuuskopioi tärkeät tiedostosi. Jos laitteesi vaarantuu, rikolliset voivat varastaa yksityisiä tietojasi, kuten kuvia tai tiedostoja, tai he voivat jopa salata asemasi ja vaatia lunnaita.
  • Jos henkilötietosi ovat vaarantuneet, voit suojata niitä ohjeidemme mukaan.

Sähköpostisuodattimet eivät tunnista QR-koodilla tehtävää kalastelua

Perinteiset sähköpostisuodattimet luottavat linkkien analysointiin ja sisällön tarkastuksiin haitallisen URL-linkin tunnistamiseksi. QR-koodilla tehtävässä kalastelussa QR-koodien linkit ohittavat sähköpostisuodatukset, koska suodattimet ei osaa avata QR-koodia.

Usein QR-koodi luetaan henkilökohtaisella laitteella, jolloin haitallisen sivuston avaaminen tapahtuu yrityksen suojauksien ulkopuolelta. Tässä tapauksessa yrityksen on haastavaa tunnistaa hyökkäyksen uhriksi joutuneet henkilöt.

Tätä riskiä voi organisaatiossa lieventää seuraavin menetelmin:

  • Anna työntekijöille tietoa QR-koodeista ja niiden turvallisesta käytöstä.
  • Tarjoa yksinkertainen tapa raportoida epäilyttävistä sähköpostiviesteistä IT-tuelle.
  • Ottakaa käyttöön monivaiheinen tunnistautuminen sähköpostiin.
  • Käyttäkää yrityksen resursseja ja ohjelmia vain luotetuilla ja suojatuilla laitteilla.
  • Käyttäkää yrityksen suosittelemia QR-koodin skannaussovelluksia, joissa on sisäänrakennetut suojausominaisuudet mahdollisten haitallisten koodien havaitsemiseksi.
  • Laadi selkeät käytännöt ja ohjeet QR-koodin skannaukseen organisaatiossa.
  • Tee tunnistettava brändi QR-koodeille, jotta organisaatio voi helposti erottaa lailliset QR-koodinsa haitallisista.