Eivind Skår Ertesvåg 
Nordmenn har lenge blitt advart mot phishing-meldinger og falske banker, men nå har svindlerne tatt det et skritt videre. En helt ny metode sprer seg raskt – og Sparebanken Norge bekrefter at de første kundene allerede har blitt svindlet.
Metoden har fått et nytt navn: quishing. Og den er akkurat like skummel som den høres ut.
Svindlere skjuler seg bak helt vanlige QR-koder
Antihvitvaskrådgiver Hans Jacob Fevang i Sparebanken Norge forklarer at svindlerne nå kamuflerer falske nettsteder bak QR-koder. Disse kodene kan dukke opp på alt fra ladestasjoner og plakater til falske betalingsforespørsler, menyer på utesteder og til og med falske skattemeldinger.
– Nå må vi lære oss å gjøre akkurat det samme med QR-koder som vi har lært å gjøre med mistenkelige lenker, sier Fevang.
– Nettsiden du kommer til når du skanner en QR-kode kan være svindel.
QR-kodene ser gjerne helt uskyldige ut. Det gjør dem ekstra farlige – spesielt for dem som allerede føler at de har god kontroll på tradisjonell nettfisking.
Ny metode herjer brukthandler på nett
Blant sakene banken har mottatt reklamasjoner på, handler flere om digitale bruktmarkeder. Typisk foregår det slik: En selger legger ut en vare. En «kjøper» tar kontakt og ber om å fullføre handelen via en QR-kode. Når selger skanner den, kommer hen til et profesjonelt designet nettsted som ber om BankID-informasjon.
– Det som dessverre har skjedd, er at selger har lagt inn sin BankID-informasjon på nettsiden de kom til etter å ha skannet QR-koden, sier Fevang.
Med BankID-detaljene får svindlerne umiddelbar tilgang til kontoen – og da kan de tømme den på få minutter.
Det digitale samfunnet har gjort QR-koder til en helt vanlig del av hverdagen. Vi bruker dem på kaffemenyer, for å betale parkering, for å logge inn på arrangementer og for å hente informasjon. Men denne vanen gjør oss også sårbare.
Fevang har sett svindelmetoder utvikle seg raskt de tre årene han har jobbet med å stanse økonomisk kriminalitet. Det som før var avansert hacking, er nå ofte en enkel kode som lurer helt vanlige mennesker.
Han forklarer at det sjelden er selve QR-koden som er farlig – men nettsiden den leder til. Det er her fellen ligger.
Slik beskytter du deg
Ifølge Sparebanken Norge handler det først og fremst om å være skeptisk til QR-koder du ikke selv har bedt om. Ser du en QR-kode på en tilfeldig plakat, en stolpe eller i en melding fra noen du ikke kjenner, bør du alltid være kritisk.
Når du skanner en kode, må du sjekke nettadressen før du legger inn informasjon. Ser adressen rar ut, mangler HTTPS eller ligner noe «bank-aktig» uten å være helt riktig, bør du stoppe umiddelbart.
Du bør være særlig forsiktig dersom QR-koden leder direkte til betaling, innlogging eller BankID-bruk. Seriøse aktører ber aldri om BankID via QR-kode-lenker du ikke selv har bedt om.
En enkel regel redder deg fra trøbbel
Hvis en kjøper på nett foreslår at du skal bruke en QR-kode for å fullføre handelen, bør du trekke deg. Svindlere utnytter at de fleste ikke aner hvordan en ekte kode skal se ut. Det tryggeste du kan gjøre, er å alltid insistere på betaling gjennom kjente og sikre løsninger – og aldri åpne en lenke du ikke selv har kontroll over.
Sammendrag
- Quishing er en ny phishing-metode som bruker QR-koder til å skjule falske nettsteder.
- Svindlere kan legge ut QR-koder på tilfeldige steder, som plakater eller betalingsforespørsel.
- Når QR-koden skannes, kan den lede til nettsteder som ber om BankID-informasjon, med fatale konsekvenser.
- Vær skeptisk til QR-koder du ikke selv har bedt om, og sjekk alltid nettadressen nøye før du deler informasjon.
- Unngå alltid å betale gjennom QR-koder fra ukjente kilder, og bruk kjente betalingsløsninger.