Cybermåned: Vær opmærksom på QR-koder

Skrevet af Dayne Skolmen

Oktober er den nationale sikkerhedsmåned, og derfor retter vi ekstra opmærksomhed mod cybersikkerhed. Trusselsbilledet ændrer sig konstant, og cyberkriminelle anvender stadig nye metoder der er vigtigt at være opmærksom på. En stigende trussel kaldes “quishing” – brugen af QR-koder til phishing.

Beskyttelse af egne og kunders data har høj prioritet året rundt hos Formue. I oktober, som er den nationale sikkerhedsmåned, fokuserer Formue ekstra på at øge medarbejdernes bevidsthed om sikkerhed.

En af de sikkerhedstrusler, man skal være særlig opmærksom på nu, er “quishing” – brugen af QR-koder til phishing. Phishing er en form for social manipulation, hvor en angriber sender en vildledende besked med det formål at narre en person til at afsløre følsom information eller åbne en ondsindet link/vedhæftning. En almindelig metode er at bruge e-mails, men nu øges brugen af QR-koder. QR-koder bliver stadig mere udbredte på restauranter, parkeringsautomater og i meget af det materiale, vi ser og modtager. QR-koder kan også omgå e-mail-filtre, da de kun er billeder. Det er først, når du scanner billedet med din telefon, afsenderen af billedet træder frem.

Nedenstående diagram viser, hvordan cyberangrebet fungerer.

quishing qr kode

Vær opmærksom på alle QR-koder

Som med enhver form for phishing er den bedste forsvarsmetode uddannelse og bevidsthed. Ondsinde QR-koder er næsten umulige at afsløre, så hvis du skal scanne en, kræver det ekstra opmærksomhed for at opdage, om det kan være et svindelforsøg. Her er nogle gode råd:

  1. Scan aldrig en QR-kode fra en ukendt kilde.
  2. Hvis du modtager en QR-kode fra en kendt afsender via e-mail. Få bekræftelse via en separat kanal, som f.eks. tekstbesked, telefonopkald osv., for at sikre at beskeden er legitim.
  3. Når du scanner en QR-kode, skal din enhed vise det websted, den vil føre dig til. Tjek webadressen, før du åbner den, for at se om den virker legitim. Kontroller, om webstedet bruger HTTPS i stedet for HTTP, og ikke har åbenlyse stavefejl. Undgå at klikke på ukendte eller forkortede links (som “maskerer” en ondsindet link ved hjælp af en linkforkortningstjeneste som Bitly).
  4. Vær meget forsigtig, hvis en QR-kode fører dig til et websted, der beder om personlig information, loginoplysninger eller betaling.

Fire trin til at holde dig sikker online

Trin 1: Brug stærke adgangskoder

Stærke adgangskoder er lange (mindst 14 tegn), tilfældige, unikke og inkluderer alle fire tegntyper (store bogstaver, små bogstaver, tal og symboler). Adgangskoden skal være nem for dig at huske og svær for andre at gætte. Brug aldrig den samme adgangskode til flere konti. Adgangskodeadministratorer er nyttige værktøjer til at hjælpe dig med at oprette stærke adgangskoder til hver af dine konti.

Trin 2: Aktiver totrinsbekræftelse (MFA)

I dag har du brug for mere end bare en adgangskode for at beskytte dine konti. Totrinsbekræftelse (MFA) kræver ikke kun brugernavn og adgangskode ved login, men også en ekstra autentificeringsmetode, såsom en kode sendt via SMS eller fra en autentificeringsapp på din telefon. Dette ekstra lag reducerer risikoen for lækkede adgangskoder betydeligt. Det anbefales stærkt at aktivere MFA på alle dine konti, der tilbyder det, især dem der indeholder følsom information, og dem der ofte bliver angrebet, som e-mails, bank- og finanskonti og sociale medier.

Trin 3: Opdater din software

Sørg for, at softwaren på din computer og telefon er opdateret til den seneste sikkerhedsopdatering for at håndtere sårbarheder i softwaren. Det anbefales at aktivere “automatiske opdateringer” på dine enheder.

Trin 4: Genkend og undgå phishing

Phishing forbliver den største sikkerhedstrussel i 2023. Vi modtager mange e-mails hver dag, og vi føler os ofte presset til at svare eller reagere hurtigt. Især hvis e-mailen lykkes med at gøre os spændte, nysgerrige eller bange – ofte ved at skabe en følelse af hastværk – kan vi klikke på alle mulige links uden at vurdere e-mailen ordentligt.

Hvis e-mailen er uventet, mistænkelig eller usædvanlig fra afsenderen, bør det være det første advarselssignal. I så fald, tag dig tid til at:

  • Gennemgå afsenderens e-mailadresse. Matcher domænet det, de hævder at være fra, og er der nogen fejlagtige tegn? (f.eks. Sp0tifi.com)
  • Hold musen over linksene for at se destinationen. Fører URL-en dig til det samme websted, som den påstår at føre dig til?
  • Brug teksten i vedhæftet fil til at vurdere filen, du modtager. Matcher filens titel indholdet?
  • Bekræft e-mailens ægthed via en anden kanal.

Disse ekstra sekunder kan markant reducere risikoen for phishing. Test din phishing-bevidsthed ved at tage Google phishing-quizzen.

Tag kontrol over din cybersikkerhed

Gør sikkerhedsbevidsthed til en integreret del af dit daglige digitale liv, ikke kun nu i oktober, men året rundt. I dagens sammenkoblede verden er sikkerhed ikke kun et teknisk problem; det er personligt. Data, du skaber og deler online, er værdifuld, og beskyttelsen af den er afgørende, ikke kun for dit privatliv, men også for din økonomi og endda dit omdømme. Sikkerhedstrusler ændrer sig konstant, og med fremkomsten af ​​kunstig intelligens vil de sandsynligvis blive mere sofistikerede fremover. At følge rådene i denne artikel er en god start for at beskytte dig selv online.

Dayne Skolmen Chief Information Security Officer at Formue

Dayne Skolmen er Head of IT Security på Formue og har 9 års erfaring med informationssikkerhed

Kontakt os