QR codes: wel of geen digitale bedreiging
GESCHREVEN DOOR: Fabian Althoff OP 18-11-2020
De laatste tijd zie je het weer opduiken, de QR-code. Voor het registreren van mensen, het scannen van een menukaart, voor het doen van betalingen. Zo voorkom je onnodig contact en is dus hygiënisch, maar is het gebruik ook veilig.
Aanvallen op komst?
Een QR-code vergroot het gemak. Toch zijn er ook redenen om voorzichtig te zijn met QR-codes. Zo waarschuwde securitybedrijf MobileIron in september voor de beveiligingsrisico’s rondom het gebruik ervan. Uit een onderzoek onder ruim 3.600 consumenten bleek dat veel mensen niet goed weten welke acties een QR-code kan initiëren. Slechts één op de vijf mensen wist bijvoorbeeld dat een QR-code een e-mail kan opstellen of een telefoongesprek kan starten.
Betalingen via QR-codes
Securityonderzoeker Jeroen Klaver van KPN Security denkt niet dat cybercriminelen zich massaal op de QR-code zullen storten. “Een malafide QR-code is moeilijk te onderscheiden van een legitieme code, wat kansen biedt voor de aanvaller. Tegelijkertijd wekt het argwaan als een bedrijf zomaar een QR-code stuurt. Mede daarom verwacht ik geen grootschalige phishing- en malwarecampagnes met QR-codes. Waarom zouden criminelen een QR-code verkiezen boven een goed vermomd linkje of een besmette bijlage?”
Toch liggen er wel degelijk kansen voor criminelen, stelt Klaver. “Dan denk ik vooral aan betalingen via QR-codes. Ik zie het niet snel gebeuren dat betalingen aan webwinkels worden omgeleid, omdat de betaling helemaal aan het einde van de keten zit. Dan zou de crimineel de hele webwinkel moeten overnemen. Wel kan ik me voorstellen dat aanvallers in e-mails vragen om bijvoorbeeld donaties aan een goed doel. ‘Scan deze QR-code en steun ons nu!’.”
Eigen stickers
Ook misbruik van QR-codes in de fysieke wereld is een optie. Klaver: “Criminelen kunnen bestaande QR-codes overplakken met hun eigen stickers of nieuwe QR-codes opplakken op logische plekken, zoals een koffietentje waar gratis wifi wordt aangeboden. ‘Gratis wifi, scan hier!’ Op die manier kan een hacker mensen laten inloggen op zijn eigen netwerk en zo dataverkeer onderscheppen. Maar ik denk dan toch eerder aan kruimeldieven dan aan grote criminelen.”
Belang van scanner
Er is nog een belangrijke reden waarom cybercriminelen de QR-code tot nu toe links laten liggen: een goede scanner beperkt de risico’s. “De gebruiker ziet dan na het scannen eerst welke tekens er achter de QR-code schuilgaan”, licht Klaver toe. “Het is dus niet zo dat een scan meteen naar een schadelijke website leidt, er is altijd nog goedkeuring van de gebruiker nodig. Die ingebouwde controlestap maakt het een stuk moeilijker om mensen om de tuin te leiden.”
Bron: KPN Digital Dutch
Lees hier het hele artikel