De Coinbase Super Bowl-commercial met een stuiterende QR-code op muziek was zo populair dat de cryptocurrency-app tijdelijk crashte. Wat vertelt dit ons over hoe deze codes worden gebruikt en hoe veilig het is om te scannen? Wake Forest Computer Science Professor Sarra Alqahtani beantwoordt vragen over QR-codes, cybercriminaliteit en hoe u uw persoonlijke informatie veilig kunt houden.

Wat was uw reactie op de Coinbase-commercial als hoogleraar computerwetenschappen die cyberbeveiliging bestudeert?

Het was een leuke commercial om naar te kijken, maar ik begon meteen na te denken over hoe genormaliseerd deze technologie wordt zonder een gelijkwaardig bewustzijn van de beveiligingsproblemen. Zoals bij elke nieuwe technologie, komt beveiliging meestal als een bijzaak, niet alleen voor de ontwikkelaars, maar ook voor de gebruikers. Ik hoop op een poging om mensen voor te lichten over de beveiligingsproblemen van QR-codes en hoe ze hun privacy kunnen beschermen.

Hoe waarschijnlijk is het dat privé-informatie kan worden aangetast door een QR-code te scannen?

De QR-code kan worden vervangen door een kwaadwillende (de eenvoudigste manier is door de ene code fysiek op de andere te plakken), wat de gebruiker naar een nepwebsite kan leiden die lijkt op de originele website. De hacker kan dan kleine software (malware) op de telefoon van de gebruiker plaatsen om zijn gegevens te volgen en te verzamelen.

Wat doen hackers met de informatie die ze stelen?

Ze kunnen de gebruikersnamen en wachtwoorden die we in verschillende apps en websites gebruiken stelen en verkopen op het dark web. Deze gegevens kunnen worden gebruikt om de inloggegevens van gebruikers/werknemers te raden tijdens andere aanvallen, zoals bij de ransomware-aanval op de Colonial Pipeline.

Is er een manier om te weten of een QR-code veilig is?

We kunnen met onze ogen geen verschil zien tussen de legitieme en kwaadaardige codes, maar wanneer we de code scannen, moeten we aandacht besteden aan de websitelink voordat we erop klikken. Daarom wordt aanbevolen om de websitelink bij de code op te nemen wanneer u deze openbaar deelt.

Waar moeten we op letten bij het controleren van een URL voordat we klikken?

Als er een beveiligingsrisico is, ziet de URL er hetzelfde uit als de originele URL, maar met kleine wijzigingen. In plaats van www.yahoo.com kan de hacker bijvoorbeeld yaho0.com gebruiken, wat erg op elkaar lijkt. Dit soort trucs valt onder het gebied van phishing-aanvallen, dat een lange geschiedenis heeft in cyberbeveiliging.

Wat is uw beste advies voor het beschermen van persoonlijke informatie bij het gebruik van QR-codes?

Ik raad aan om de QR-codes niet zo veel mogelijk te scannen en papieren handleidingen en menu's te gebruiken. Ik raad ook aan om de ingebouwde camera's in smartphones te gebruiken in plaats van apps van derden te gebruiken, omdat de ingebouwde camera's de websitelink tonen en de gebruiker vragen erop te klikken, wat meestal niet het geval is bij apps van derden.

Wat moet u doen als u vermoedt dat u op een nepwebsite heeft geklikt en dat er malware is geïnstalleerd?

Het hangt af van de telefoon die u gebruikt, maar over het algemeen moet u uw browsercache wissen, een back-up van uw bestanden maken en uw inloggegevens wijzigen. Als je telefoon geen ingebouwde beveiliging heeft, moet je malwaredetectiesoftware gebruiken om malware te detecteren en te verwijderen.

Heeft u een boek of hulpmiddel dat u zou kunnen aanbevelen aan mensen die meer willen weten over QR-codes?

Lees de aankondiging van de openbare dienst van de FBI, "Cybercriminelen die met QR-codes knoeien om geld van slachtoffers te stelen."