De QR-code is in coronatijd aan een comeback bezig. Deze scanbare afbeeldingen worden op allerlei locaties gebruikt om mensen te registreren en bieden een contactloos alternatief voor bijvoorbeeld menukaarten en betalingen met contant geld. Handig en hygiënisch, maar hoe zit het met de veiligheid?
QR-codes bestaan al vijftien jaar. Toch was de ‘moderne streepjescode’ niet eerder zo populair als nu. “Nog nooit was de vraag naar QR-codes zo groot”, liet een aanbieder van gratis QR-codes in augustus weten aan RTL Z. De recente opmars van de QR-code hangt samen met de uitbraak van het coronavirus. De codes maken processen contactloos, wat het besmettingsgevaar beperkt. Onder andere in de horeca schoot het gebruik omhoog.
QR-codes zijn niet meer dan een visuele weergave van tekens
QR-codes zijn niet meer dan een visuele weergave van tekens. Consumenten kunnen de afbeelding scannen om allerlei opdrachten uit te voeren op hun smartphone. Bijvoorbeeld een website bezoeken, een applicatie downloaden, inloggen op een wifinetwerk of een betaling voldoen. Bedrijven zetten QR-codes onder meer in voor marketingdoeleinden, maar ook om de klantervaring te verbeteren. Denk hierbij aan de QR-codes op vliegtickets en kaarten voor evenementen.
Aanvallen op komst?
Een QR-code vergroot het gemak. Toch zijn er ook redenen om voorzichtig te zijn met QR-codes. Zo waarschuwde securitybedrijf MobileIron in september voor de beveiligingsrisico’s rondom het gebruik ervan. Uit een onderzoek onder ruim 3.600 consumenten bleek dat veel mensen niet goed weten welke acties een QR-code kan initiëren. Slechts een op de vijf mensen wist bijvoorbeeld dat een QR-code een e-mail kan opstellen of een telefoongesprek kan starten.
Cybercriminelen maken nog nauwelijks gebruik van QR-codes, maar MobileIron verwacht dat dit ‘binnenkort’ verandert. Het bedrijf noemt ook enkele aanvalsmethoden. Zo kan een gescande QR-code de gebruiker naar een kwaadaardige URL leiden en malware downloaden om vervolgens data aan het mobiele device te onttrekken. Of de hacker voegt een link toe naar een phishingsite waar de gebruiker wordt gevraagd om inloggegevens in te vullen.
Criminelen verkiezen vermomd linkje boven een QR-code
Securityonderzoeker Jeroen Klaver van KPN Security denkt niet dat cybercriminelen zich massaal op de QR-code zullen storten. “Een malafide QR-code is moeilijk te onderscheiden van een legitieme code, wat kansen biedt voor de aanvaller. Tegelijkertijd wekt het argwaan als een bedrijf zomaar een QR-code stuurt. Mede daarom verwacht ik geen grootschalige phishing- en malwarecampagnes met QR-codes. Waarom zouden criminelen een QR-code verkiezen boven een goed vermomd linkje of een besmette bijlage?”
Betalingen aan ‘goede doelen’ via QR-codes
Toch liggen er wel degelijk kansen voor criminelen, stelt Klaver. “Dan denk ik vooral aan betalingen via QR-codes. Ik zie het niet snel gebeuren dat betalingen aan webwinkels worden omgeleid, omdat de betaling helemaal aan het einde van de keten zit. Dan zou de crimineel de hele webwinkel moeten overnemen. Wel kan ik me voorstellen dat aanvallers in e-mails vragen om bijvoorbeeld donaties aan een goed doel. ‘Scan deze QR-code en steun ons nu!’.”
QR-code overplakken met eigen stickers
Ook misbruik van QR-codes in de fysieke wereld is een optie. Klaver: “Criminelen kunnen bestaande QR-codes overplakken met hun eigen stickers. Of nieuwe QR-codes opplakken op logische plekken, zoals een koffietentje waar gratis wifi wordt aangeboden. ‘Gratis wifi, scan hier!’ Op die manier kan een hacker mensen laten inloggen op zijn eigen netwerk en zo dataverkeer onderscheppen. Maar ik denk dan toch eerder aan kruimeldieven dan aan grote criminelen.”
Risico’s in Nederland beperkt, maar ze zijn er wel
In Nederland zijn de risico’s bovendien beperkt, omdat QR-codes hier bijna niet worden gebruikt om te betalen in winkels. “Via PayPal is dat sinds dit jaar wel mogelijk”, vertelt de onderzoeker. “De winkelier print dan een QR-code uit en plaatst deze in de winkel. Stel dat een cybercrimineel daar zijn eigen sticker overheen plakt, dan kunnen betalingen van klanten worden omgeleid. Een winkelier heeft echt geen tijd om te checken of elke betaling wel op de juiste rekening staat.”
Een goede scanner beperkt de risico’s
Belang van scanner met controlestap
Er is nog een belangrijke reden waarom cybercriminelen de QR-code tot nu toe links laten liggen: een goede scanner beperkt de risico’s. “De gebruiker ziet dan na het scannen eerst welke tekens er achter de QR-code schuilgaan”, licht Klaver toe. “Het is dus niet zo dat een scan meteen naar een schadelijke website leidt, er is altijd nog goedkeuring van de gebruiker nodig. Die ingebouwde controlestap maakt het een stuk moeilijker om mensen om de tuin te leiden.”
Gebruik een reader die de tekst zichtbaar maakt
Alles bij elkaar genomen vindt Klaver de securityrisico’s te overzien. Toch adviseert hij consumenten om niet blind op QR-codes te vertrouwen. “Maar dat geldt eigenlijk voor alle vormen van digitale communicatie. Wees u ervan bewust dat een QR-code gewoon een andere manier is om tekens weer te geven. Net als een URL kan ook een QR-code iets op uw apparaat in gang zetten dat u niet wenselijk acht. Gebruik daarom in ieder geval een reader die de tekst zichtbaar maakt .”
Gebruik de QR-codes niet voor cruciale processen
En wat is zijn advies voor bedrijven? “Elk systeem heeft zwakke plekken en QR-codes zijn geen uitzondering. Zo wist een computerexpert in 2016 via zelf gegenereerde QR-codes toegang te krijgen tot een viplounge op een vliegveld. Maakt uw bedrijf gebruik van QR-codes? Houd dan rekening met het risico op fraude en cybercriminaliteit. Gebruik de QR-codes bij voorkeur niet voor cruciale processen en schakel onnodige functionaliteit op de scanapparaten uit.”
Roxy Spaargaren, KPN Security
>> Lees ook de blog ‘QR-codes: contactloos, maar zeker niet risicoloos’ van Arjan Veenboer (MobileIron)