Angreppen syftar till att få mottagaren att besöka skadliga sajter eller ladda ner skadlig programvara.
Det handlar om nätfiske – så kallad phishing – men via QR-koder, som om de skannas aktiverar en dold skadlig länk som skickar mottagaren vidare.
– Egentligen är det bara ett nytt sätt att producera en länk som folk inte kan läsa och förstå. Det är vanligare nu än vad det varit tidigare, säger Marcus Murray, grundare av cybersäkerhetsföretaget Truesec.
Inbäddade i mejl
Säkerhetsföretaget Check Point varnar på sin sajt för att bedrägeriförsök med QR-koder har skjutit i höjden. Bland företagets kunder var ökningen 587 procent under augusti och september.
Även Barracuda Networks varnar för att "quishing" (phishing med QR-kod) har blivit ett betydande hot mot privatpersoner och organisationer. Ofta är koderna inbäddade i mejl.
"Offren luras vanligtvis att ange sina inloggningsuppgifter som sedan fångas upp av angriparen. Falska QR-koder kan också leda till undersökningar eller formulär som begär personlig information som namn, adress eller personnummer", skriver Barracuda Networks i ett pressmeddelande.
QR-koder finns numera runt oss i vardagen, vid exempelvis betalning och i olika underhållningstjänster. Ett problem är att koderna, till skillnad från länkar och bifogade filer, kan verka harmlösa.
– De är inte uppenbart farliga. När en vanlig länk skickas kan man direkt ta ställning till om något ser fel ut eller inte. Men en QR-kod ser aldrig fel ut och går inte att bedöma utifrån sitt utseende, säger Marcus Murray.
"Hälsosamt paranoid"
Lömska QR-koder är också svårare att upptäcka med traditionella filter för e-post.
TT: Vad kan man göra för att skydda sig?
– Man kan ha olika typer av skydd. Men framför allt ska man vara ifrågasättande, hälsosamt paranoid. Även om QR-koden ser bra ut kan länken vara farlig, säger Marcus Murray.
– Det bästa är att gå direkt till avsändaren. Surfa exempelvis direkt till banksajten i stället för att gå via den länk du har fått i ett mejl.