Experter varnar: QR-bedrägerier ökar – så skyddar du dig

QR-koder har blivit en självklar del av vardagen. Vi använder dem för att läsa menyer, betala parkering, hämta paket, logga in, köpa biljetter och snabbt komma till en webbsida. Men just därför har de också blivit ett perfekt verktyg för bedragare.

Nu varnar säkerhetsexperter för att allt fler drabbas av så kallade QR-bedrägerier, eller quishing som det ibland kallas. Ordet är en kombination av QR och phishing, alltså nätfiske. Principen är enkel: bedragaren placerar en falsk QR-kod där människor förväntar sig att en riktig kod ska finnas. Den som skannar koden kan sedan hamna på en falsk webbsida som ser äkta ut – men som i själva verket är byggd för att lura av användaren pengar, kortuppgifter, BankID-inloggning eller andra känsliga uppgifter.

Varför är QR-koder så effektiva för bedragare?

Det farliga med QR-koder är att de ofta känns trygga. Vi är vana vid att skanna dem utan att tänka efter. En vanlig länk i ett mejl kan vi ibland granska med ögonen, men en QR-kod döljer adressen bakom ett mönster av svarta och vita rutor.

Bedragarna utnyttjar just den vanan. De vet att många skannar först och tänker sedan. Dessutom används QR-koder ofta i situationer där vi har bråttom: vid parkeringsautomater, på restauranger, vid paketutlämning, i kollektivtrafiken eller när vi får ett meddelande om att något måste betalas snabbt.

En falsk QR-kod kan till exempel sitta som ett klistermärke ovanpå en riktig kod. Den kan också skickas via mejl, sms eller sociala medier och påstås komma från ett företag, en myndighet, en bank, ett fraktbolag eller en parkeringsapp.

Så kan ett QR-bedrägeri gå till

Ett vanligt upplägg är att en person ska betala parkering. På automaten sitter en QR-kod som ser ut att höra till parkeringsbolaget. Men koden leder i själva verket till en falsk sida där användaren uppmanas att skriva in kortuppgifter eller logga in med BankID.

Ett annat exempel är falska paketaviseringar. Du får ett sms där det står att ett paket inte kunde levereras och att du måste skanna en QR-kod för att betala en liten avgift. Beloppet kan verka obetydligt, kanske 19 eller 29 kronor, men syftet är inte den lilla avgiften. Syftet är att komma åt dina kortuppgifter eller få dig att godkänna något med BankID.

Det förekommer också falska QR-koder på affischer, annonser, mejl och utskick. Eftersom koden ser neutral ut kan den vara svår att avslöja vid första anblick.

Det här bör få varningsklockorna att ringa

• Du uppmanas att agera snabbt eller hotas med avgifter, spärrar eller utebliven leverans.
• QR-koden leder till en webbadress som ser konstig ut eller inte matchar företagets riktiga domän.
• Sidan ber dig logga in med BankID för något som egentligen borde vara enkelt.
• Du blir ombedd att lämna kortuppgifter efter att ha skannat en kod på en offentlig plats.
• QR-koden sitter som ett klistermärke ovanpå en skylt, automat eller affisch.
• Meddelandet innehåller stavfel, märkliga formuleringar eller ovanligt brådskande språk.

Så skyddar du dig mot QR-bedrägerier

Det viktigaste rådet är enkelt: skanna inte QR-koder reflexmässigt. Stanna upp några sekunder och fundera på var koden sitter, vem som står bakom den och om du verkligen behöver använda den.

Om du ska betala parkering, gå hellre själv in i den officiella appen eller skriv in företagets adress manuellt i webbläsaren. Om du får ett sms om ett paket, öppna fraktbolagets app eller gå till bolagets riktiga webbplats istället för att följa länken eller QR-koden i meddelandet.

Kontrollera alltid webbadressen innan du fyller i uppgifter. Många moderna mobilkameror visar vilken länk QR-koden leder till innan du öppnar den. Om adressen ser misstänkt ut, avbryt direkt.

Använd aldrig BankID på uppmaning av någon annan om du inte själv har startat ärendet och förstår exakt vad du godkänner. Läs alltid texten i BankID-appen noggrant innan du signerar.

Företag och föreningar bör också tänka till

QR-bedrägerier är inte bara ett problem för privatpersoner. Företag, föreningar, kommuner och arrangörer som använder QR-koder bör kontrollera sina skyltar och utskick regelbundet. En QR-kod på en affisch, betalstation eller entré kan manipuleras genom att någon klistrar en falsk kod ovanpå den riktiga.

Den som använder QR-koder offentligt bör därför komplettera med tydlig information om vilken webbadress koden ska leda till. Det gör det lättare för besökare att upptäcka om något inte stämmer.

Har du redan skannat en misstänkt QR-kod?

Om du har skannat en QR-kod men inte fyllt i några uppgifter är risken oftast mindre. Stäng sidan och rensa gärna webbläsarhistoriken. Har du däremot lämnat kortuppgifter, loggat in eller signerat med BankID bör du agera snabbt.

• Kontakta banken direkt om du lämnat kort- eller kontouppgifter.
• Spärra kortet om du misstänker att uppgifterna hamnat i fel händer.
• Byt lösenord om du skrivit in inloggningsuppgifter.
• Polisanmäl händelsen om du blivit av med pengar eller utsatts för bedrägeriförsök.
• Spara sms, mejl, skärmdumpar och webbadresser som bevis.

Bekvämlighet är bedragarnas bästa vän

QR-koder är i grunden en smart teknik. Problemet är inte själva koden, utan att den gör det lätt att dölja en farlig länk bakom något som ser vardagligt och ofarligt ut. Precis som med falska mejl och sms handlar mycket om stress, vana och förtroende.

Bedragarna behöver inte hacka din mobil för att lyckas. Ofta räcker det att få dig att klicka, fylla i och godkänna. Därför är den bästa försvarslinjen fortfarande sunt förnuft: kontrollera avsändaren, granska länken och använd aldrig BankID eller kortuppgifter utan att vara helt säker.

Nästa gång du ser en QR-kod – skanna gärna, men skanna inte blint.

Källor och vidare läsning

• PC-tidningen: Experter varnar för QR-bedrägerier
• SVT: Polisen varnar för quishing och falska QR-koder
• Internetstiftelsen: Se upp för bedragare på nätet
• Svenskarna och internet: Nätbedrägerier och Tänk säkert
• Finansinspektionen: Nyheter och statistik om bedrägerier

Skriven av Ralph Andersson med hjälp av AI