Tietoturvayhtiö Check Point Software Technologies varoittaa mobiilikäyttäjiä QR-koodien turvallisuusriskeistä.
Yhtiön mukaan QR-koodien käyttö on lisääntynyt koronapandemian aikana, sillä ne helpottavat monien palveluiden käyttöä ilman fyysistä kontaktia. Esimerkiksi joissakin ravintoloissa voi selata ruokalistaa puhelimella QR-koodin avulla, tai mainoskampanjoissa osallistua kilpailuihin skannaamalla mainoksessa olevan koodin.
”On muistettava, ettei QR-koodi ole muuta kuin nopea ja kätevä tapa käyttää nettipalveluja. Emme voi olla varmoja, että koodi on aito ennen kuin olemme jo skannanneet sen – ja silloin hyökkäys on jo voinut käynnistyä”, sanoo Check Point Softwaren Suomen maajohtaja Sampo Vehkaoja.
”Emme voi olla varmoja, että koodi on aito ennen kuin olemme jo skannanneet sen – ja silloin hyökkäys on jo voinut käynnistyä”
Kyberrikolliset voivat korvata aitoja QR-koodeja omilla tekaistuilla koodeillaan, jotka käynnistävät koodin skannaajan puhelimessa haittaohjelman. Aiemmin tänä vuonna Belgian liittovaltion poliisi varoitti QR-koodihuijauksesta, jossa haittakoodi pyrkii varastamaan kirjautumistunnuksia pankki- ja vähittäiskauppasovelluksiin. Myös hollantilainen ING Bank on varoittanut huijauksista, joissa hakkerit pyrkivät yhdistämään asiakkaiden mobiilipankkisovelluksessa pankkitileille toisten henkilöiden pankkitunnuksia.
Kyberriskiä lisää myös se, että usein puhelimessa on henkilökohtaisten tietojen lisäksi myös työnantajan tietoja tai sovelluksia. Check Pointin mukaan sen vuonna 2020 julkaisema kyberturvallisuusraportti osoitti, että mobiililaitteisiin liittyvät kyberhyökkäykset vaikuttivat 27 prosenttiin organisaatioista maailmanlaajuisesti, ja 34 % organisaatioista kärsi mobiililaitteiden haittaohjelmista.
”QR-koodit eivät ole luonnostaan turvallisia tai luotettavia, ja hakkerit tietävät, että suurimmalla osalla ihmisistä on vain vähän tai ei lainkaan suojausta kännykässään. Suosittelemme kaikkia käyttämään mobiilitietoturvaratkaisua laitteidensa ja tietojensa suojaamiseksi verkkourkinnalta sekä haitallisilta ohjelmilta ja sovelluksilta”, Vehkaoja kertoo.
Ylen tietoturva-aiheisen Team Whack-sarjan kakkoskauden ensimmäisessä jaksossa ohjelman tiimi kokeili QR-koodihuijausta.
He levittivät helsinkiläiseen kauppakeskukseen mainoksia, jossa mainostettiin 100 euron palkintoa kuluttajatutkimukseen osallistumisesta, ja lisäsivät mainokseen skannattavan QR-koodin. Todellisuudessa koodi kuitenkin latasi puhelimeen ohjelman hakkerien tekemän haittaohjelman. Koko jakson QR-koodihuijauksesta pääsee katsomaan Yle Areenassa tästä linkistä. Haastattelimme ohjelmassa esiintyvää valkohattuhakkeri Laura Kankaalaa aiemmin tänä syksynä.
QR-koodihuijauksilta voi välttyä pitämällä puhelimensa tietoturva-asetukset kunnossa ja suhtautumalla kriittisesti QR-koodeihin. Koodeja ei kannata skannailla mistä tahansa, vaan ainoastaan silloin kun on varma siitä, mikä koodin tarkoitus on ja mihin se vie.
Kuvat: Unsplash
Lue muita tietoturvauutisia:
Kyberturvaa pienyrityksille – uusi opas auttaa suojautumaan kyberuhilta