Se opp for QR-koder

Skrevet av Dayne Skolmen

Desember er høysesong for cyberkriminelle. De utnytter at folk er travle og mer uoppmerksomme. Trusselbildet endrer seg kontinuerlig og cyberkriminelle tar stadig nye metoder i bruk. Nå øker såkalt quishing – bruken av QR-koder for phishing.

Sikring av egne og kunders data er høyt prioritert hele året i Formue. Formue har investert betydelig både for å øke kompetansen internt og i ledende systemer for å sikre våre egne og kunders data. Nylig ble Formue ISO 27001-sertifisert,  en global anerkjent standard for informasjonssikkerhet. Sertifiseringen er en bekreftelse på at våre rutiner og systemer er på nivå med beste praksis.

Se opp for QR-koder

En av sikkerhetstruslene man må ekstra være oppmerksom på nå, er quishing – bruken av QR-koder for phishing. Phishing er en type sosial manipulering der en angriper sender en uredelig melding som er designet for å lure en person til å avsløre sensitiv informasjon eller åpne en ondsinnet lenke/vedlegg. En vanlig metode er å bruke e-poster, men nå øker bruken av QR-koder. QR-koder blir stadig vanligere på restauranter, parkeringsautomater og i mye materiell vi ser og mottar. QR-koder kan også komme forbi e-postfiltre ettersom de kun er bilder. Det er først når du skanner bildet med telefonen din at avsenderen av bildet kommer frem.

Diagrammet nedenfor viser hvordan cyberangrep med quishing fungerer.

Quishing eller QR-phishing

Slik foregår quishing, eller phishing med QR-kode.

Vær oppmerksom på alle QR-koder

Som med en hver form for phishing er den beste forsvarsmetoden opplæring og bevissthet. Ondsinnede QR-koder er nesten umulige å avsløre, så hvis du må skanne en, krever det ekstra oppmerksomhet for å oppdage om det kan dreie seg om et svindelforsøk.Her kommer noen gode råd:

  • Skann aldri en QR-kode fra en ukjent kilde.
  • Hvis du mottar en QR-kode fra en betrodd kilde via e-post, bekreft via en separat kanal, for eksempel tekstmelding, telefonsamtale, etc., at meldingen er legitim.
  • Når du skanner en QR-kode, bør enheten din vise nettstedet den vil ta deg til. Sjekk nettadressen før du åpner den for å se om den virker legitim. Sjekk om nettstedet bruker HTTPS fremfor HTTP og ikke har åpenbare skrivefeil. Unngå å klikke på ukjente eller forkortede lenker (som “maskerer” en ondsinnet lenke ved hjelp av en lenkeforkortningstjeneste som Bitly).
  • Vær svært forsiktig hvis en QR-kode tar deg til et nettsted som ber om personlig informasjon, påloggingsinformasjon eller betaling.

Fire trinn for å holde deg trygg på nettet

Trinn 1: Bruk sterke passord

Sterke passord er lange (minst 14 tegn), tilfeldige, unike og inkluderer alle fire tegntyper (store bokstaver, små bokstaver, tall og symboler). Passordet bør være lett for deg å huske og vanskelig for andre å gjette. Bruk aldri det samme passordet på flere kontoer. Passordbehandlere er et godt verktøy som kan hjelpe deg med å skape sterke passord for hver av kontoene dine.

Les sikkerhetssjefens gode råd mot IT-angrep.

Trinn 2: Aktiver flerfaktorautentisering (MFA)

I dag trenger du mer enn et passord for å beskytte kontoene dine. Flerfaktorautentisering (MFA) krever ikke bare brukernavn og passord ved pålogging, men også en ekstra autentisering metode, for eksempel en kode sendt via SMS eller fra en autentiseringsapp på telefonen din. Dette ekstra laget reduserer risikoen for kompromitterte passord betydelig. Det anbefales sterkt å aktivere MFA på alle dine kontoer som tilbyr det, spesielt de som inneholder sensitiv informasjon og de som er hyppig angrepet, som e-post, bank- og finanskontoer og sosiale medier.

Trinn 3: Oppdater programvaren

Sørg for at programvaren på datamaskinen og telefonen din er oppdatert til den siste sikkerhetsoppdateringen for å håndtere sårbarheter i programvaren. Det anbefales å aktivere “automatisk oppdatering” på enhetene dine.

Trinn 4: Gjenkjenn og unngå phishing

Phishing forblir den største sikkerhetstrusselen i 2023. Vi mottar mange e-poster hver dag, og vi føler ofte oss presset til å svare eller reagere kjapt. Spesielt hvis e-posten lykkes med å gjøre oss spente, nysgjerrige eller redde – ofte ved å skape en følelse av hastverk – kan vi klikke på alle slags lenker uten å vurdere e-posten skikkelig.

Hvis e-posten er uventet, mistenkelig eller uvanlig for avsenderen, bør det være første varselsignal. I dette tilfellet, ta deg tid til å:

  • Gjennomgå avsenderens e-postadresse. Samsvarer domenet med det de påstår å være fra, og er det noen feilaktige tegn? (f.eks. Sp0tifi.com)
  • Hold musen over lenker for å se destinasjonen. Tar URL-en deg til samme nettsted som den hevder å ta deg til?
  • Bruk teksten på vedlegget til å vurdere filen du mottar. Samsvarer filens tittel med innholdet?
  • Bekreft legitimiteten til e-posten via en annen kanal.

Disse ekstra sekundene kan redusere risikoen for phishing vesentlig. Test din phishing-bevissthet ved å ta Google phishing-quiz.

Ta kontroll over din cybersikkerhet:

Gjør sikkerhetsbevissthet til en integrert del av ditt daglige digitale liv året rundt. I dagens sammenkoblede verden er sikkerhet ikke bare et teknisk problem; det er personlig. Dataen du skaper og deler online er verdifull og beskyttelsen av den er avgjørende, ikke bare for personvernet ditt, men også for økonomien din og til og med for omdømmet ditt. Sikkerhetstrusler endrer seg kontinuerlig, og med fremveksten av AI vil de sannsynligvis bli mer sofistikerte. Å følge rådene i denne artikkelen er en god start for å beskytte deg selv online.

Les mer om Formues cyber security tiltak her: Cyber security – Formue

Dayne Skolmen Chief Information Security Officer at Formue

Dayne Skolmen har 9 års erfaring innen informasjonssikkerhet. Som sjef for IT-sikkerhet er han ansvarlig for Formues informasjonssikkerhetsstrategi og program, og sørger for at data- og informasjonsressurser er sikret mot trusler.

Kontakt oss