Poliisi varoittaa: näin rikolliset huijaavat QR-koodeilla

Espanjan kansallinen poliisi Policía Nacional varoittaa QR-koodeilla tehtävistä huijauksista, jotka ovat lisääntyneet hälyttävästi.

QR-koodeista on tullut viime vuosina osa lähes jokaisen arkea. Nopeasti älypuhelimella tai tabletilla skannattavat koodit linkittävät ravintoloiden ruokalistoihin, erilaisten yritysten yhteystietoihin, palveluiden lisätietoihin ja niin edelleen.

Tämä QR-koodi on hyödyllinen, se vie osoitteeseen www.fuengirola.fi.

QR-koodeja löytyy nykyään lehdistä, mainosesitteistä, käyttöohjeista, käyntikorteista ja vaikkapa matka- ja muista lipuista. Monissa tapauksissa QR-koodilla voi myös siirtyä maksamaan tuotteita tai palveluja.

Ei siis ole minkään ihme, että myös rikolliset ovat keksineet hyödyntää QR-koodeja ihmisten huijaamisessa.

- Mainos -

Nämä neliskanttiset koodikuviot ovat sikäli kelmeille otollinen tuote, että koodia paljaalla silmällä katsomalla ei voi mitenkään nähdä on kyseessä harmiton, hyödyllinen vai haitallinen koodi.

Ruokalistat, mainokset, sähköpostit…

Esimerkiksi Aurinkorannikon alueella yksi riskin paikka ovat ravintoloiden ruokalistat. Alueella on valtava määrä ravintoloita, ja asiakaskunnassa erittäin paljon ihmisiä jotka eivät puhu paikallista kieltä. Nämä ovat seikkoja jotka houkuttavat rosvoja kokeilemaan onneaan.

Pandemian aikana monet ravintolat ja kahvilat korvasivat hygieniasyistä fyysiset ruokalistat QR-koodeilla, joiden kautta asiakkaat voivat skannata listan omaan älylaitteeseensa. Vaikka fyysiset ruokalistat ovat sittemmin tehneet paluun, ovat QR-koodit jäänet käyttöön niiden rinnalla.

@policia ¡Cuidado! Esto te puede pasar con un código #QR 👁️ #Tips #consejos #aprendeentiktok #police #policia #seguridad ♬ sonido original – Policía Nacional

Näiden ravintolan omien QR-koodien päälle kelmit ovat paikoin onnistuneet liimaamaan omat QR-koodinsa, jotka eivät viekään ravintolan omille sivuille, vaan ohjaavat huijaussivustoille tai saattavat jopa asentaa haittaohjelmia laitteeseen.

Ravintolassa QR-koodilla skannattava ruokalista voi olla kätevä, mutta koodin aitoudesta kannattaa varmistua.

Monissa mainoslehtisissä näkee myös QR-koodeja. Esimerkiksi ilmoitustauluilla voi olla mainoslehtisiä kielikursseista, soittotunneista, lasten tukiopetuksesta tai melkein mistä tahansa muusta aiheesta, ja ilmoitukseen liitettynä QR-koodi, jonka kautta luvataan lisätietoja. Jos ilmoituksen onkin jättänyt joku rikollinen, eikä rehellinen palveluntarjoaja, saattaa koodin skannaaminen viedä jälleen vaarallisille vesille.

Epämääräiset QR-kooditarrat kannattaa suosiolla jättää omaan arvoonsa.

Oma lukunsa ovat vielä sähköpostien mukana lähetettävät QR-koodit. Huijarit käyttävät näitä koodeja maustamaan jo tutuksi tulleita huijausviestejä, joissa varoitellaan milloin mistäkin: sähköpostin turva-asetukset pitää päivittää tai tili sulkeutuu, pankkitunnukset pitää päivittää, tai vaikka mitä vastaavaa. Näiden toimintaan patistelevien viestien yhteyteen liitetään QR-koodi, joka jälleen kerran vie huijareiden sivuille.

- Mainos -

Ja kannattaa muistaa, että näitä huijauskoodeja saatetaan hyvinkin levittää myös sosiaalisessa mediassa.

Oikein käytettynä QR-koodit ovat erinomainen väline helpottamaan jokapäiväistä elämää ja yritystoimintaakin, mutta tarkkana kannattaa olla.

Monia erilaisia huijaustapoja

Rikolliset käyttävät näitä haitalliseksi luotuja QR-koodeja monien erilaisten huijausten tekemiseksi. Yksi yleinen tapa, jota käytetään esimerkiksi mainoslehtisissä, on ohjata esimerkiksi pahaa-aavistamaton isä tai äiti tutustumaan lastaan kiinnostavaan iltapäiväkerhoon. Koodi vie kuitenkin huijareiden sivustolle, jossa uhri pyritään huijaamaan antamaan pankki- tai muita tietoja paikan varaamiseksi lapselleen.

Oman QR-lukijan asetukset kannattaa laittaa niin että se avaa ensin linkin luettavassa muodossa ja vasta sitten käyttäjä tekee päätöksen, haluaako avata kyseisen sivun.

Joissain tapauksissa huijaukset on rakennettu siten, että kelmien QR-koodi vie pahaa-aavistamattoman uhrin nettisivulle, jolle saapuminen tekee automaattisesti henkilöstä jonkun palvelun tilaajan, ja tämän jälkeen tililtä alkaa mennä kuukausittain veloituksia asiakkuudesta jota henkilö ei tiedä edes luoneensa.

QR-koodi voidaan myös luoda niin että se lataa haittaohjelmia, kiristysohjelmia ja troijalaisia laitteelle. Näiden suhteen helpottavana tietona on sentään se, että ladattujen tiedostojen suorittaminen vaatii vielä käyttäjältä toimia. Joten jos alkaa ajoissa haistaa palaneenkäryä, voi vain poistaa latautuneet tiedostot laitteeltaan ja suorittaa virusskannauksen varmuuden vuoksi.

Miten tunnistaa?

Miten sitten voi varmistaa, ettei joudu QR-koodihuijauksen uhriksi. Varmin tapa on tietysti se, ettei koskaan lue laitteellaan yhtäkään QR-koodia.

Huijarit voivat esimerkiksi liimata omia kooditarrojaan asiallisten koodien päälle.

- Mainos -

Mutta kuten todettua, oikein käytettynä nämä koodit voivat hyvinkin helpottaa elämää. Niinpä ohessa joitain keinoja vähentää riskiä tulla huijatuksi.

  • Varmista että koodia ei ole liimattu toisen koodin päälle. Jos esimerkiksi ravintolassa havaitset epäilyttävän kooditarran, ilmoita asiasta henkilökunnalle.
  • Kun QR-koodi avaa linkin, älä klikkaa sitä ennen kuin olet varmistanut että osoite vie sinut oikean yrityksen nettisivulle.
  • Varmista että osoitteessa on alussa kirjaimet https (jos viimeinen s-kirjain puuttuu, sivu ei ole turvallinen).
  • Jos esiin tulee epäilyttäviä mainoksia, älä klikkaa niitä. QR-koodien tarkoitus on tarjota oikea informaatio helposti, ei viedä mutkikkaisiin klikkailuihin.
  • Jos sivuilla aletaan kysellä tarpeettomia henkilö- tai maksutietoja, älä anna niitä.
  • Jos QR-koodilukijassasi on asetus, joka vie sinut suoraan skannatun koodin sivulle, poista tämä asetus. On turvallisempaa, että koodin lukija avaa ensin linkin luettavassa muodossa ja vasta sitten käyttäjä tekee päätöksen, haluaako avata kyseisen sivun.
  • Jos kaikesta huolimatta epäilet joutuneesi QR-koodijuijauksen uhriksi, tee välittömästi rikosilmoitus kansallisen poliisin (Policía Nacional) asemalla. Jos mahdollista, ota kuvakaappauksia huijaussivusta.

 

QR-koodihuijaukset – Ilmiö huolestuttavassa nousussa myös Suomessa

Vaikka Aurinkorannikolla onkin omat QR-koodihuijareille otolliset ominaispiirteensä, löytävät nämä kelmit kyllä antoisia huijausapajia joka puolelta maailmaa. Myös Suomessa QR-koodin käyttö rikollisiin tarkoituksiin yleistyy kovaa vauhtia.

Suomen virallinen, Liikenne- ja viestintäviraston alainen Kyberturvallisuuskeskus käsittelee nettisivuillaan laajasti QR-koodihuijauksia (tunnetaan myös mm. nimillä Qrishing ja Quishing)

Ohessa poimintoja Kyberturvallisuuskeskuksen artikkelista. Koko artikkelin voit lukea tästä linkistä.

Kuinka tunnistan QR-koodilla tehtävän kalastelun?

  • Älä skannaa QR-koodia tuntemattomasta lähteestä. Käsittele QR-koodia kuin linkkiä. Ennen kuin luet QR-koodin sähköpostiviestistäsi, mieti onko viesti aito vai yritetäänkö sinulta huijata tunnuksia tai muuta arkaluonteisia henkilötietoja. Jos saat QR-koodin ystävältä tekstiviestinä tai työkaverilta sosiaalisen median kautta, varmista lähettäjältä esimerkiksi soittamalla, että QR-koodi on aito.
  • Varo lyhennettyjä linkkejä. Jos näyttöön tulee lyhennetty URL-osoite, kun viet kameraa QR-koodin päälle, sinulla ei ole mitään keinoa tietää, minne linkki sinut vie.
  • Ole valppaana tietojenkalastelukampanjoiden tunnusmerkkien suhteen. Rikolliset vetoavat monesti kiireeseen ja ihmisten tunteisiin.
  • Ole erittäin varovainen, jos QR-koodi vie sinut sivustolle, jossa pyydetään henkilökohtaisia tietoja, kirjautumistietoja tai maksua. Älä anna sähköpostitunnuksia tai luottokorttisi tietoja.
  • Jotkut rikolliset yrittävät johtaa kuluttajia harhaan muuttamalla laillisia yritysmainoksia tai kiinnittämällä niihin QR-kooditarroja.
  • Varo väärennöksiä. Jos et ole varma QR-koodin aitoudesta, voit pyytää yritystä tarkistamaan sen. Suurin osa yrityksistä asentaa pysyvästi skannattavia QR-koodeja laitteisiinsa laminoimalla koodin tai sijoittamalla sen lasin taakse. Usein ne sisältävät myös yrityksen logon.

Mitä tehdä, jos skannasin väärennetyn QR-koodin?

  • Jos annoit sähköpostitunnuksesi käyttäjätunnuksen ja salasanan, vaihda salasanasi heti. Jos kyse on työpaikkasi sähköpostista, ilmoita asiasta IT-tuelle. Varmista, että käytät tileissäsi vahvoja salasanoja. Lisää suojaustasoa ottamalla käyttöön kaksivaiheinen todennus (MFA).
  • Ilmoita heti pankkiisi, jos epäilet luottokorttitietosi- tai pankkitunnuksesi vaarantuneen.
  • Jos laitteellesi latautui haittaohjelmia, katkaise yhteys Wi-Fi- tai matkapuhelinverkkoosi heti, kun huomaat, että tiedosto saattaa olla haitallinen. On pienempi riski, että haittaohjelma saattaa lähettää arkaluontoisia tietojasi hakkereille, jos internetyhteyttä ei ole.
  • Varmuuskopioi tärkeät tiedostosi. Jos laitteesi vaarantuu, rikolliset voivat varastaa yksityisiä tietojasi, kuten kuvia tai tiedostoja, tai he voivat jopa salata asemasi ja vaatia lunnaita.
  • Jos henkilötietosi ovat vaarantuneet, voit suojata niitä ohjeidemme mukaan.

Artikkelin kirjoittaja

Janne Leipijärvi
Mainos
Jatka lukemista