QR-codes bestaan al sinds 1994. Vielen ze tot februari 2020 nog vooral in de categorie ‘handig’, sinds maart dit jaar zijn ze opgeschaald naar ‘mogelijk cruciaal, want contactloos’. Dankzij alle contactbeperkingen tijdens de coronapandemie blijft het gebruik ervan dan ook flink stijgen. Ook is hiervoor een goede voedingsbodem aanwezig: in Nederland tikken we qua smartphone-bezit bijna de 100% aan, en iedereen kan in principe met zijn telefoon QR-codes lezen. En zodra een toepassing zijn weg naar het volk vindt, bedenkt het hackersgilde smokkelpaadjes. Zo ook bij QR-codes.
Uit onderzoek bleek al dat het aantal QR-scans het afgelopen half jaar is toegenomen. Maar de kennis over het fenomeen helaas niet. Enigszins chargerend kun je zeggen dat we geen onderscheid kunnen maken tussen een goede en een malafide QR-code en dat Nederland niet weet wat die voor schade kan aanrichten. En dat is niet zo vreemd, want QR-codes bestaan al ruim 25 jaar en we gebruiken ze al jaren, zowel zakelijk als privé, zonder erbij na te denken. En juist daarin schuilt het grote gevaar: we scannen en klikken zonder kritische noot.
We scannen en klikken zonder kritische noot
En van die achteloosheid maken hackers dankbaar gebruik. Ze zorgen bijvoorbeeld dat de betrouwbaar uitziende QR-code naar een website leidt die malware installeert. Concreet kan een hacker het volgende bereiken met een QR-code:
- Contact toevoegen: hackers kunnen een nieuw contact aanmaken op de telefoon van de gebruiker en dit inzetten voor spearphishing of andere gerichte aanvallen.
- Telefoongesprek: door een oproep naar de hacker te activeren, kan deze het nummer van het gehackte toestel achterhalen.
- Sms: de hacker kan een sms naar zichzelf laten sturen of zelf sms’en naar contacten aanwezig op het toestel.
- E-mail: de hacker kan e-mails opstellen en zelf de onderwerpregels en de ontvangers bepalen.
- Betalingen: hackers kunnen betalingen uitvoeren en de financiële gegevens van de gebruiker achterhalen.
- Locatie: locatiegegevens kunnen naar een app of website gestuurd worden.
- Social: de social-accounts van de gebruiker kunnen onwetend kwaadaardige accounts gaan volgen, die vervolgens persoonlijke informatie en contacten van de gebruiker achterhalen.
- WiFi: de hacker kan de telefoon automatisch met een gecompromitteerd netwerk laten verbinden.
Hoe goed sommige aanvallen ook zijn, er is altijd een verdediging te bedenken, zowel op gebruikers- als op corporate niveau.
Wat kunnen gebruikers doen?
- Bekijk de code die je scant: zorg dat je zeker weet dat de QR-code betrouwbaar is. Let vooral op gedrukte codes, waar gemakkelijk een andere code overheen te plakken is.
- Scan alleen codes van vertrouwde bronnen: Let daarbij op ‘instinkers’, zoals een URL die verschilt van de bedrijfs-URL.
- Controleer bit.ly-links: Controleer de URL van een bit.ly-link die verschijnt na het scannen van een QR-code door in de browser een plusteken (“+”) aan de URL toe te voegen. De bit.ly-links worden vaak ingezet voor het linken naar een malafide site.
Wat kunnen bedrijven doen?
- Installeer een tool tegen phishing, device takeovers, man-in-the-middle exploits en downloads van kwaadwillende apps op elk zakelijk device. Zorg ook dat je de gebruikers vertelt waartegen de software beschermt, en vooral ook waartegen ze niet beschermt. Voorlichting blijft een essentieel onderdeel van het security beleid van een organisatie.
- En stap over op wachtwoordloze, meervoudige authenticatie. Zo behoren niet alleen gestolen wachtwoorden tot het verleden, maar ook het gedoe om ze te onderhouden. En dat maakt je gebruikers gelukkiger en productiever, en hackers vleugellam.
Arjan Veenboer, Regional Sales Director Benelux, Israel & Zuid Afrika bij MobileIron
– Nieuw: Digimagazine Cybersecurity
– Tikkie Fraude: nieuwe goudmijn voor cybercriminelen
– “Zonder inzet nieuwe technologieën is cyberweerbaarheid niet te garanderen”
– DNS: basis voor veilig digitaal werken
– The not so friendly forward
.