15-01-2024 16:22

Uusi huijausmuoto – tiedätkö, mitä on quishing?

Jo entuudestaan tuttujen sähköposti-, puhelin- ja tekstiviestihuijausten rinnalle on tullut uusi huijausmuoto: quishing eli QR-koodin avulla tapahtuva huijaus.
Customer using smart phone to scan QR code

Mitä eri huijausmuodoilla tarkoitetaan?

Ensimmäisenä tuli phishing, joka on sateenvarjokäsite kaikelle tietojenkalastelulle. Yleensä sillä tarkoitetaan kuitenkin sähköpostikalastelua. Seuraavaksi yleistyi puhelinhuijaus eli vishing (voice phishing), jonka avulla huijari pyrkii saamaan tietoja puhelimitse. Tänä vuonna myös tekstiviestihuijaukset (smishing) ovat lisääntyneet merkittävästi.  

 ”Se, mitä käsitettä käytämme, ei sinänsä ole tärkeää, vaan se, että olet tarkkana, jos saat yllättäen sähköpostiviestin, puhelun tai tekstiviestin, jossa sinua pyydetään tekemään jotakin”, Nordean petostorjunnan asiantuntija Sara Helin sanoo. 
Huijarit kehittävät menetelmiään jatkuvasti, ja nyt uusimpana on QR-koodin avulla tapahtuva huijaus.  

Mikä on QR-koodi?

QR-koodi voi sisältää erilaista tietoa, mutta yleensä se on neliön muotoinen linkki, joka luetaan puhelimen avulla. 

QR-koodin avulla voi esimerkiksi

•    siirtyä verkkosivuille: QR-koodin lukeminen on nopeampaa kuin osoitteen kirjoittaminen verkkoselaimeen.
•    kirjautua erilaisiin palveluihin käyttämällä mobiililaitteeseen ladattavaa pankkisovellusta ja PIN-koodia.  
•    siirtää rahaa: erilaisissa rahansiirtosovelluksissa voit lukea QR-koodin suoraan puhelimellasi sen sijaan, että näppäilisit vastaanottajan numeron.

”Lyhenne QR tulee sanoista Quick Response ja usein QR-koodin käyttäminen onkin nopeaa. Jossain tapauksissa se saattaa myös lisätä turvallisuutta. Esimerkiksi sisäänkirjautuminen QR-koodin avulla on turvallisempaa kuin käyttäjätunnuksen syöttäminen sivulle ”, Sara Helin sanoo.  

Miten huijarit käyttävät QR-koodeja?

Huijarit voivat käyttää QR-koodia johdatellakseen käyttäjän aidolta vaikuttavalle verkkosivulle, jolla he yrittävät kalastella tietoja tai saada uhrin käyttämään jonkinlaista turvallisuusratkaisua. QR-koodi voi olla kalasteluviestissä perinteisen linkin tilalla, upotettuna haitallisella verkkosivulla tai vaikkapa auton tuulilasiin asetetussa valeparkkilaskussa. Yritysmaailmassa Microsoft-tunnuksia kalastellaan sähköposteilla, joissa on linkin sijasta QR-koodi. Yksityishenkilöihin kohdistuvilla huijauksilla pyritään tyypillisesti varastamaan pankkitunnuksia ja korttitietoja.  Skannatessasi QR-koodin on tärkeää, että käyt huolellisesti verkkosivun sisällön läpi ja harkitset tarkkaan ennen kuin toimit. 

Olemme oppineet, että tuntemattomia linkkejä ei tule klikata. Myös QR-koodi on linkki ja siihen tulee suhtautua samalla varovaisuudella kuin muihinkin linkkeihin. Erona on se, että emme näe QR-koodin sisältämää linkkiä, jolloin sen aitouden varmistaminen on vaikeampaa.

Miten voit suojautua?

Aiempien huijausmuotojen tapaan QR-koodihuijaus on tietojenkalastelumenetelmä. Olipa kanavana sitten sähköposti, puhelin, tekstiviesti tai QR-koodi, on tärkeää käyttää maalaisjärkeä ja suhtautua epäilevästi kaikkiin yllättäviin yhteydenottoihin, joissa kehotetaan toimimaan tietyllä tavalla. Kyseessä voi olla tietojenkalasteluyritys, jonka avulla huijarit pyrkivät saamaan tietoja tai houkuttelemaan uhrin käyttämään jotakin turvallisuusratkaisua. 

”On hyvä miettiä, kuka on aloitteentekijä. Jos haluat esimerkiksi kirjautua verkkosivulle tai siirtää rahaa, QR-koodi on kätevä ratkaisu. Jos taas sinua yllättäen pyydetään lukemaan QR-koodi ja toimimaan tietyllä tavalla, on syytä olla varuillaan. Kyseessä saattaa olla huijausyritys”, Sara Helin sanoo.
 

Petokset ja huijaukset
Analyysit