Je komt ze overal tegen. In elke stad op alle wegen. QR codes. Posters, spotjes op tv, busjes van de aannemer, folders, in de kroeg voor de bierkaart. Super handig. Scheelt je toch weer een URL intikken met je dikke vingers op je telefoonschermpje. Ik roeptoeter al jaren over de gevaren van die QR codes maar eindelijk lijkt dit nu ook een beetje door te dringen her en der.
Quishing dus. QR’s gebruiken voor je scam. Jaren worden we verteld dat we niet zomaar op alle links moeten klikken, maar QR’s worden vaak gewoon ongezien gescand en geopend. En het is natuurlijk ook heel handig, maar het blijft wel opletten. De bezochte pagina kan verwijzen naar een nagemaakte site van de scammer of erger, installeert malware via een zeroday waarvan je iOS nog niet op de hoogte was. Natuurlijk, je standaard QR code scanner op je telefoon laat subtiel de URL zien waar je naar toe gaat maar je ziet maar een deel van de URL. Afhankelijk van je scanner is dat het eerste deel van de URL (niet handig) of alleen het hoofddomein (handiger). Daarnaast maken mensen gebruik van obscure QR scan apps die zelfs direct de URL openen zonder tussenkomst van de gebruiker. Ook steeds vaker, QR codes in phishing mails. De standaard security en scanning tools op je pc kunnen door het gebruik van de QR code niet zonder meer de URL’s goed checken.
Ik las over een poc met betrekking tot deelfietsen. Iemand plakte zijn eigen QR code op de deelfiets met er groot boven ‘scan to unlock’. De pagina verwees direct naar een betaalsite waar de niet vermoedende tourist 10 euro moest betalen. Na betaling gebeurde er natuurlijk niks maar was de scammer gevlogen. Geen idee of het waar is, maar ik vond het goed voorstelbaar.
Hier had ik het over met mijn security officer en we besloten een test te doen. Wij trainen al ons personeel jaarlijks op security en onderdeel daarvan is dat we leren niet zomaar elke link te openen of om op knopjes te drukken. We waren benieuwd of onze collega’s dat ook niet deden met QR codes. Op onze kantoren in Utrecht, Parijs en Montreal hingen we aan de buitenkant van ons pand een QR code op die verwees naar een op Netlify gehoste simpele (uiteraard volledig overengineerd met Astro en CI/CD) pagina met een invul formulier op mee te doen met de ‘challenge 2023’. Een onguur persoon die ons zou willen hacken zou immers hetzelfde kunnen doen door een poster te maken en die op de buitenkant van ons pand te plakken om ons te verleiden zijn malafide site te bezoeken.
Mijn hypothese was dat we binnen een week minimaal 10 hits er op zouden hebben. Het koste mij minder dan 3 dagen. De verleiding om mee te doen met de 2023 challenge was blijkbaar voldoende om een onduidelijke URL te openen, een veld in te vullen met je naam en op een knop te rammen. In theorie waren de hackers een stapje verder binnen in ons bedrijf.
Let dus op! Een aantal dingen om op te letten
-
Bij het scannen, let op de URL waar je op gaat klikken. Probeer vooral het hoofddomein te checken
-
Bij het maken van QR’s, valideer of de QR goed is gemaakt en niet stiekem ergens anders naar toe gaat. Bij het schrijven van dit stukje gebruikte ik de QR generator van Vistaprint (want bovenaan in Google) maar bij controle bleek die niet naar het domein te gaan die ik had ingesteld maar via een tussenpartij. En aan de QR code zie je niks.
-
Let extra op bij QR’s vanuit mail. Eigenlijk hetzelfde concept als links in je mails die je altijd goed moet controleren maar je standaard scanners gaan namelijk niet af.
-
Scan liever geen QR’s op straat op papiertjes of stickers
-
Gebruik geen losse QR apps maar alleen de native camera van iOS of Android