Quishing – allt du behöver veta

Du skannar en QR-kod på en affisch, i ett mejl eller på ett bord på restaurangen – och tänker ingenting mer om det. Det är just den reflexen cyberkriminella räknar med. Quishing, en sammanslagning av orden QR och phishing, är en attackmetod som växer snabbt och som traditionella säkerhetssystem ofta missar helt. Till skillnad från vanliga nätfiskemejl innehåller quishing-attacker inga misstänkta länkar som kan skannas av ett filter – bara en oskyldig fyrkant med ett mönster. Den här artikeln förklarar hur quishing fungerar, varför det är så svårt att stoppa och vad du konkret kan göra för att skydda dig.

Quishing – det nya vapnet i cyberkriminellas arsenal

Quishing är inte ett begrepp som dyker upp i vardagssamtalet ännu, men bland säkerhetsforskare och IT-ansvariga på stora företag har det blivit ett av de mest omtalade hoten under de senaste åren. Anledningen är enkel: attackmetoden fungerar, den skalar väl och den utnyttjar ett beteende som vi alla har lärt oss att se som ofarligt. Att skanna en QR-kod känns inte som ett riskbeteende – och det är precis varför quishing är så effektivt.

Begreppet är en sammanslagning av QR och phishing, och beskriver en attack där en skadlig länk bäddas in i en QR-kod i stället för att skrivas ut som text. Mottagaren luras att skanna koden, dirigeras till en falsk webbplats och uppmanas sedan att ange inloggningsuppgifter, kortinformation eller andra känsliga uppgifter. Resultatet är detsamma som vid ett traditionellt nätfiskeförsök – men vägen dit är helt annorlunda.

Hur attacken ser ut i praktiken

En typisk quishing-attack börjar med ett mejl. Det kan se ut att komma från ett välkänt företag – ett paketbolag, en bank, en myndighet eller arbetsgivarens IT-avdelning. I mejlet finns ingen klickbar länk, bara en QR-kod med en uppmaning att skanna den för att till exempel verifiera ett konto, hämta ut ett paket eller godkänna en inloggning.

När offret skannar koden med sin mobiltelefon öppnas en webbsida som kan vara en nästan perfekt kopia av den legitima sajten. Sidan begär ett lösenord, ett BankID-godkännande eller kreditkortsuppgifter. Allt ser trovärdigt ut, och utan den tekniska kunskap som krävs för att granska en URL noggrant är det nästan omöjligt att skilja den falska sidan från den äkta.

Quishing i fysiska miljöer

Attackerna är inte begränsade till mejl. En ökande trend är att angripare placerar ut falska QR-koder i fysiska miljöer – på parkeringsautomater, i restauranger, på anslagstavlor och till och med på laddstationer för elbilar. En klisterlapp med en QR-kod är billig att producera och enkel att placera över en befintlig, legitim kod. Offret tror sig skanna restaurangens meny men hamnar i stället på en sida som försöker stjäla betalningsinformation.

Det finns dokumenterade fall från flera europeiska länder där falska parkeringsbetalningskoder har genererat stora belopp åt angriparna. I Storbritannien varnade myndigheterna redan 2022 för utbredda quishing-attacker på parkeringsplatser, och sedan dess har fenomenet spritt sig snabbt söderut och österut på kontinenten. I Sverige har Konsumentverket och flera banker uppmärksammat problemet, men kännedomen bland allmänheten är fortfarande låg.

Det som gör quishing särskilt oroande ur ett samhällsperspektiv är att det utnyttjar en teknik som aktivt har uppmuntrats under och efter pandemin. QR-koder lanserades som ett hygieniskt och smidigt alternativ till fysiska menyer och kontantbetalningar. Vi lärde oss att lita på dem. Cyberkriminella lärde sig det samtidigt.

Varför QR-koder är ett säkerhetshål ingen täpper till

För att förstå varför quishing är så svårt att stoppa behöver man förstå hur traditionella säkerhetssystem är konstruerade. De allra flesta e-postsäkerhetslösningar bygger på att analysera innehållet i ett meddelande – och då framför allt de länkar som finns i texten. Systemen jämför adresser mot svartlistor, analyserar domäner och letar efter mönster som liknar kända nätfiskesidor.

En QR-kod innehåller ingen synlig länk. För ett säkerhetssystem som skannar ett mejl är en QR-kod bara en bild – ett rutnät av svarta och vita kvadrater utan uppenbar betydelse. Utan ett system som aktivt avkodar och analyserar varje QR-kod i inkommande meddelanden passerar attacken rakt igenom filtret, omarkerad och orapporterad.

Mobiltelefonen – säkerhetens svagaste länk

Det finns ytterligare ett strukturellt problem som förvärrar situationen. Även om ett företag har investerat i avancerade säkerhetssystem för sina datorer och nätverk är mobiltelefonen nästan alltid utanför den sfären. När en anställd skannar en QR-kod med sin privata mobiltelefon sker det utanför företagets kontroll, utanför VPN:et och utanför de verktyg som IT-avdelningen har tillgång till.

Telefonen saknar ofta uppdaterad säkerhetsprogramvara, är sällan konfigurerad för att varna vid misstänkta webbadresser och använder ett nätverksanslutning – ofta mobildata eller ett okänt wifi – som ingen i organisationen övervakar. Kombinationen av ett osäkrat nätverk, en ouppdaterad enhet och ett högt förtroende för QR-koder som teknik skapar en närmast perfekt attackyta.

Svårigheten att utbilda bort problemet

Traditionell säkerhetsutbildning lär anställda att inte klicka på misstänkta länkar, att kontrollera avsändarens e-postadress och att vara vaksamma på stavfel och konstiga formuleringar i mejl. Det är alla råd som fortfarande är relevanta – men de hjälper inte mot quishing. En QR-kod avslöjar ingenting om sin destination förrän den har skannats. Det finns ingen länk att granska, ingen adress att ifrågasätta och inga uppenbara varningstecken i koden själv.

Det innebär att den mänskliga faktorn – som säkerhetsexperter länge har pekat ut som det svagaste ledet i kedjan – blir ännu svårare att hantera. Även en tränad och säkerhetsmedveten medarbetare kan falla för en välgjord quishing-attack, eftersom de verktyg de har fått för att identifiera hot helt enkelt inte är anpassade för den här attacktypen.

Säkerhetsföretag arbetar med att utveckla lösningar som automatiskt avkodar QR-koder i inkommande mejl och analyserar de bakomliggande länkarna. Vissa produkter på marknaden kan redan göra detta, men adoptionen är låg och tekniken är inte felfri. Dessutom löser det bara en del av problemet – den del som rör mejl. Fysiska QR-koder i offentliga miljöer förblir i praktiken omöjliga att skydda sig mot med tekniska medel. Där är det mänskliga omdömet det enda verktyget, och det förutsätter en medvetenhet om hotet som ännu inte finns hos de flesta.

Experternas råd: Så minimerar du risken att bli lurad

Det är lätt att bli pessimistisk när man förstår hur quishing fungerar och varför det är så svårt att stoppa. Men det finns konkreta åtgärder – både för privatpersoner och för organisationer – som kraftigt minskar risken att bli ett offer. Säkerhetsexperter är tydliga med att kombinationen av tekniska verktyg och utbildad vaksamhet fortfarande är det mest effektiva skyddet.

Det första och viktigaste rådet är att alltid förhandsgranska den länk som en QR-kod leder till innan du besöker sidan. De flesta moderna smartphones visar webbadressen i en liten förhandsvisning direkt efter att koden har skannats – innan webbläsaren öppnas. Den sekunden är din viktigaste möjlighet att stoppa en attack. Ser adressen konstig ut, innehåller den en lång rad slumpmässiga tecken eller pekar den mot en domän du inte känner igen? Stäng då omedelbart utan att gå vidare.

Råd för privatpersoner

Här är vad du som privatperson konkret bör tänka på varje gång du möter en QR-kod:

• Skanna aldrig QR-koder i mejl som du inte aktivt har begärt – banker, myndigheter och paketbolag ber dig sällan skanna en kod för att lösa ett ärende
• Kontrollera alltid att en fysisk QR-kod inte är en klisterlapp placerad ovanpå en annan kod – känn försiktigt med fingret om ytan känns ojämn
• Ange aldrig lösenord, kortuppgifter eller personnummer på en sida du nått via en QR-kod utan att ha verifierat adressen noggrant
• Håll din mobiltelefons operativsystem och webbläsare uppdaterade, eftersom säkerhetspatchar ofta täpper till kända sårbarheter som quishing-sidor försöker utnyttja
• Använd en QR-skanner med inbyggd säkerhetskontroll i stället för telefonens standardkamera – flera gratis appar erbjuder denna funktion

Råd för företag och organisationer

För organisationer är utmaningen större, men också mer hanterbar med rätt struktur. Det viktigaste steget är att inkludera quishing som ett explicit tema i den löpande säkerhetsutbildningen. Anställda som känner till attackmetoden är betydligt svårare att lura än de som aldrig har hört talas om den.

Tekniskt sett bör IT-avdelningar utvärdera om deras nuvarande e-postsäkerhetslösning har förmågan att avkoda och analysera QR-koder i inkommande meddelanden. Om inte är det en lucka som bör åtgärdas. Flera ledande leverantörer av e-postsäkerhet har lagt till denna funktionalitet under de senaste åren, och det är en investering som är svår att motivera bort med tanke på hur snabbt quishing-attackerna ökar i antal.

En annan åtgärd som ofta förbises är att införa tydliga rutiner för hur anställda ska rapportera misstänkta QR-koder – både digitala och fysiska. En medarbetare som hittar en misstänkt klisterlapp på kontorets entré ska veta vem de ska kontakta och hur, utan att behöva tänka efter. Ju kortare den vägen är, desto snabbare kan organisationen reagera och minimera skadan.