QR-koodihuijaus – nämä merkit paljastavat vaaran

QR-koodin skannaus voi olla yllättävä riski.

QR-koodit ovat arkipäiväistyneet nopeasti. Niitä käytetään ravintoloissa, pysäköinnissä, tapahtumissa, pakettiautomaateilla, mainoksissa, verkkokaupoissa ja jopa pankkipalveluiden tunnistautumisessa.

Samalla myös huijarit ovat huomanneet niiden tehon.

QR-koodihuijaus eli quishing tarkoittaa tietojenkalastelua, jossa uhri ohjataan QR-koodin avulla väärennetylle verkkosivulle.

Sivulla voidaan pyytää pankkitunnuksia, maksukortin tietoja, käyttäjätunnuksia tai muita henkilötietoja.

Ongelma on siinä, että QR-koodi näyttää usein viattomalta. Silmällä ei voi nähdä, mihin osoitteeseen se oikeasti vie.

Miksi QR-koodihuijauksista puhutaan nyt?

QR-koodien käyttö on lisääntynyt, koska ne ovat nopeita ja helppoja. Puhelimen kamera tunnistaa koodin sekunneissa, eikä käyttäjän tarvitse kirjoittaa osoitetta selaimeen.

Juuri tämä tekee niistä myös rikollisille houkuttelevia.

Huijari voi lähettää QR-koodin sähköpostissa tai tekstiviestissä. Hän voi julkaista sen sosiaalisessa mediassa.

Hän voi myös kiinnittää väärennetyn tarran aidon QR-koodin päälle esimerkiksi pysäköintiautomaatissa, ravintolassa, tapahtumapaikalla tai mainoksessa.

Kun käyttäjä skannaa koodin, hän voi päätyä sivulle, joka näyttää aidolta palvelulta. Todellisuudessa sivu on rakennettu tietojen varastamista varten.

Näin QR-koodihuijaus toimii

QR-koodihuijaus perustuu samaan ajatukseen kuin perinteinen tietojenkalastelu. Käyttäjä ohjataan väärälle sivulle ja saadaan uskomaan, että kyse on aidosta palvelusta.

Huijaus voi alkaa esimerkiksi näin:

  • sähköpostissa väitetään, että käyttäjän pitää päivittää tilinsä
  • tekstiviestissä kerrotaan maksamattomasta toimitusmaksusta
  • pysäköintialueella oleva QR-koodi ohjaa maksusivua muistuttavalle sivulle
  • verkkokauppailmoituksessa ostajaa pyydetään vahvistamaan maksu QR-koodin kautta
  • mainoksessa luvataan erikoistarjous tai palkinto

    Kun uhri avaa linkin, sivu voi pyytää kirjautumaan pankkitunnuksilla, syöttämään maksukortin tiedot tai asentamaan sovelluksen.

    Tässä vaiheessa kannattaa pysähtyä. Aito palvelu ei yleensä pyydä arkaluonteisia tietoja yllättävän QR-koodin kautta ilman selkeää syytä.

    Listasimme alapuolelle kuusi merkkiä, jotka voivat olla merkki huijauksesta.

    1. QR-koodi on liimattu tarrana vanhan koodin päälle

    Yksi selvä varoitusmerkki on fyysinen tarra.

    Jos QR-koodi näyttää liimatulta, vinolta, kuluneelta tai siltä, että se on asetettu toisen koodin päälle, sitä ei kannata skannata.

    Erityisen tarkkana kannattaa olla paikoissa, joissa QR-koodilla maksetaan tai kirjaudutaan palveluun.

    Tällaisia voivat olla esimerkiksi pysäköintiautomaatit, ravintoloiden pöydät, tapahtumajulisteet ja julkiset ilmoitustaulut.

    Jos koodi näyttää epäilyttävältä, käytä mieluummin palvelun virallista sovellusta tai kirjoita osoite itse selaimeen.

    2. Linkki vie outoon verkko-osoitteeseen

    Kun skannaat QR-koodin, puhelin näyttää usein osoitteen ennen sivun avaamista. Tätä kohtaa ei kannata ohittaa automaattisesti.

    Jos osoite on pitkä, sekava, kirjoitusvirheitä sisältävä tai ei vastaa palvelun oikeaa verkkotunnusta, älä avaa sitä.

    Esimerkiksi pankin, viranomaisen, kuljetusyhtiön tai pysäköintipalvelun sivun pitäisi ohjata selvästi tunnistettavaan viralliseen osoitteeseen. Jos osoite näyttää lähes oikealta mutta ei aivan, kyse voi olla huijauksesta.

    Huijarit käyttävät usein osoitteita, jotka muistuttavat oikeaa palvelua vain nopeasti vilkaistuna.

    3. Sivusto pyytää kirjautumaan uudelleen

    Yksi yleinen huijauskeino on ohjata käyttäjä sivulle, joka näyttää pankin, sähköpostipalvelun, kuljetusyhtiön tai viranomaisen kirjautumissivulta.

    Jos QR-koodin skannauksen jälkeen sivu pyytää heti pankkitunnuksia, salasanaa tai maksukortin tietoja, tilanne kannattaa tarkistaa erityisen huolellisesti.

    Älä kirjaudu palveluun QR-koodin kautta, jos et ole täysin varma sen aitoudesta. Mene sen sijaan itse palvelun viralliselle sivulle tai avaa tuttu sovellus.

    Tämä on yksinkertainen mutta tehokas sääntö: älä anna tunnuksia linkistä tai QR-koodista avautuneelle sivulle, jos et ole itse varma, mistä sivu tuli.

    Nykyään QR-koodeja näkee kaikkialla.

    4. Viestissä luodaan kiireen tunne

    Huijausviesteissä on usein kiire.

    Käyttäjälle voidaan väittää, että tili suljetaan, paketti palautetaan, maksu epäonnistuu, varaus perutaan tai tietoturva on vaarassa, ellei hän toimi heti.

    Kiire on tarkoituksellinen keino. Kun ihminen säikähtää, hän ei tarkista osoitetta, lähettäjää tai palvelun aitoutta yhtä huolellisesti.

    Jos QR-koodin yhteydessä painostetaan toimimaan välittömästi, se on varoitusmerkki.

    5. QR-koodi liittyy yllättävään maksupyyntöön

    Erityisen varovainen kannattaa olla, jos QR-koodi liittyy maksamiseen.

    Huijaus voi esiintyä esimerkiksi pysäköintimaksuna, toimitusmaksuna, tullimaksuna, lipun vahvistuksena tai verkkokaupan maksun varmistuksena.

    Ennen maksutietojen syöttämistä tarkista, että olet varmasti oikeassa palvelussa. Avaa tarvittaessa palvelun virallinen sovellus tai kirjoita osoite itse selaimeen.

    Jos kyse on pankkiasioinnista, tarkista myös, mitä olet vahvistamassa. Tunnistautumista tai maksua ei pidä hyväksyä vain siksi, että puhelin pyytää vahvistusta.

    6. Koodi tuli tuntemattomalta lähettäjältä

    QR-koodia ei pidä skannata automaattisesti vain siksi, että se tuli sähköpostissa, tekstiviestissä tai sosiaalisessa mediassa.

    Jos viesti tulee tuntemattomalta lähettäjältä tai sen sisältö tuntuu yllättävältä, älä skannaa koodia.

    Sama koskee viestejä, jotka näyttävät tulevan tutulta yritykseltä mutta sisältävät oudon linkin, poikkeavan kirjoitustyylin tai painostavan pyynnön.

    Huijarit voivat väärentää lähettäjän nimen ja käyttää tunnettujen yritysten logoja. Pelkkä tuttu ulkoasu ei tee viestistä aitoa.

    Huijauksia saattaa nähdä esimerkiksi parkkipaikkojen maksulaitteiden luona.

    Näin suojaudut QR-koodihuijauksilta

    Paras suoja on yksinkertainen: pysähdy ennen kuin skannaat.

    Tarkista ensin, missä QR-koodi on. Jos se on julkisessa paikassa tarrana, katso, näyttääkö se alkuperäiseltä. Jos se tuli viestissä, arvioi lähettäjä ja viestin sisältö.

    Kun puhelin näyttää linkin, lue osoite ennen avaamista. Jos et tunnista verkkotunnusta, älä jatka.

    Käytä tärkeissä palveluissa mieluummin virallista sovellusta. Pankkiin, OmaVeroon, OmaKantaan, kuljetusyhtiön palveluun tai pysäköintisovellukseen kannattaa mennä itse sovelluksen tai selaimeen kirjoitetun osoitteen kautta.

    Älä syötä pankkitunnuksia, maksukortin tietoja tai salasanoja sivulle, johon päädyit yllättävän QR-koodin kautta.

    Mitä tehdä, jos epäilet huijausta?

    Jos olet skannannut QR-koodin mutta et ole syöttänyt mitään tietoja, sulje sivu. Jos latasit jotain, poista tiedosto tai sovellus ja tarkista laite.

    Jos annoit pankkitunnuksia, maksukortin tietoja tai vahvistit maksun, toimi heti.

    Ota yhteys pankkiisi. Sulje tarvittaessa kortti. Vaihda salasanat. Tee ilmoitus poliisille, jos sinulta on viety rahaa tai tietoja. Huijauksesta voi ilmoittaa myös Kyberturvallisuuskeskukselle.

    Nopea toiminta voi estää suuremman vahingon.

    Sinivalko-median kanta: digiarjessa ei saa olla liian sinisilmäinen

    QR-koodit ovat käteviä, mutta juuri siksi niihin liittyy riski. Kun jokin muuttuu arjessa liian automaattiseksi, huijarit löytävät siitä nopeasti heikon kohdan.

    Kyse ei ole siitä, että QR-koodeja pitäisi pelätä. Kyse on siitä, että niitä pitää käyttää samalla varovaisuudella kuin sähköpostilinkkejä ja tekstiviestejä.

    Suomalaisille on opetettu vuosia, ettei outoja linkkejä pidä klikata. Nyt sama ajattelu pitää ulottaa QR-koodeihin.

    Pysähdy, tarkista ja varmista. Yksi ylimääräinen silmäys voi säästää pankkitilin, henkilötiedot ja paljon vaivaa.

    Lähteet

    Vastaa