Ob auf Joghurtbechern, Stromrechnungen, Lottoscheinen oder in Museumsausstellungen – QR-Codes sind in allen möglichen Lebensbereichen zu finden. Diese schwarz-weißen Quadrate werden u. a. verwendet für Webseitenaufrufe, das Herunterladen von Apps, das Sammeln von Treuepunkten, für Zahlungen sowie Überweisungen und sogar für Spenden an gemeinnützige Organisationen. Die zugängliche und praktische Technologie ist für viele Menschen nützlich, einschließlich, wie immer, auch für Cyberkriminelle, die inzwischen schon einige raffinierte Betrugsmaschen mit QR-Codes durchgeführt haben. Lesen Sie weiter und entdecken Sie, was mit den allgegenwärtigen schwarz-weißen Kästchen alles schiefgehen kann und wie Sie die geheimnisvollen Quadrate trotzdem sorgenlos verwenden können.
Was sind QR-Codes und wofür werden sie gebraucht?
Fast alle Menschen besitzen heutzutage ein Smartphone. Viele der neusten Modelle verfügen über einen eingebauten QR-Code-Scanner. Für ältere Modelle steht eine große Auswahl an QR-Code-Apps zur Verfügung und es können auch spezielle Apps für beispielsweise ein Museum heruntergeladen werden.
Ein QR-Code mit dem Smartphone zu scannen geht ganz einfach: Sie öffnen die App und richten das Objektiv der Kamera auf den QR-Code. Meistens wird daraufhin eine Push-Benachrichtigung geöffnet, die Sie auffordert eine bestimmte Webseite zu besuchen oder eine App herunterzuladen. Es gibt aber auch andere Möglichkeiten, auf die wir gleich ausführlicher eingehen werden.
Spezialisierte Scanner funktionieren mit einer Reihe von spezifischen QR-Codes. Einen solchen Code können Sie z. B. auf dem Schild neben einem geschichtsträchtigen Baum im Park finden. Wenn Sie den Code über die offizielle App des Parks scannen, dann wird Ihnen möglicherweise eine geführte Tour angezeigt, während ein Benutzer ohne diese App nur Zugriff auf die Beschreibung des Baums erhält.
Es gibt auch Apps, die QR-Codes erstellen können, damit jede Person, die den Code scannt, bestimmte Informationen erhält. Sie können z. B. einen QR-Code mit dem Namen und Passwort Ihres Gast-WLANs oder mit Ihren Bankkontodaten generieren.
Wie Cyberverbrecher QR-Codes verwenden
Eigentlich entsprechen QR-Codes der fortschrittlichen Version von Barcodes – da kann doch eigentlich nichts Schlimmes passieren, oder? Leider ist eher das Gegenteil der Fall. Menschen können QR-Codes nicht lesen, bzw. im Voraus nicht wissen, was nach dem Scannen passieren wird. Also vertrauen wir auf die Integrität des Erstellers dieses schwarz-weißen Würfelmusters. Wir können auch nicht wissen, was alles in einem QR-Code enthalten ist, noch nicht einmal, wenn wir den Code selbst erstellen. Folglich bietet das System mit den kleinen Quadraten den Cyberkriminellen eine oft unterschätzte Angriffsfläche.
Gefälschte Links
Ein QR-Code, der von einem Cyberverbrecher erstellt wurde, kann möglicherweise eine Phishing-Seite öffnen, die wie die Anmeldeseite eines sozialen Netzwerkes oder einer Online-Bank aussieht. Aus diesem Grund raten wir Links immer zu überprüfen, bevor darauf geklickt oder getippt wird. Bei einem QR-Code können solche Überprüfungen leider nicht durchgeführt werden. Angreifer benutzten meistens auch sehr kurze Links, damit die Fälschung nicht entdeckt wird, bevor das Smartphone die Bestätigung anfordert.
Mit ähnlichen Methoden können Benutzer dazu verleitet werden, unwissentlich die falsche App herunterzuladen und anstatt dem gewünschten Videospiel oder dem richtigen Tool, eine Malware auf dem Gerät zu installieren. Wenn die Malware einmal auf dem Gerät installiert ist, kann sie grenzenlosen Schaden anrichten: Passwörter stehlen, bösartige Nachrichten an die gespeicherten Kontakte schicken und vieles mehr.
QR-Codes mit verschlüsselten Befehlen
Abgesehen von eingebetteten URLs, die auf Websites weiterleiten, können QR-Codes auch Befehle enthalten, um bestimmte Aktionen auszuführen. Auch hier stehen unzählige Möglichkeiten zur Verfügung – die folgenden Beispiele sind nur ein kleiner Vorgeschmack:
- Kontakte hinzufügen
- Einen Anruf tätigen
- Eine E-Mail entwerfen und die Empfänger angeben sowie die Betreffzeile ausfüllen
- Einen Text verschicken
- Ihren Standort mit einer App teilen
- Ein Konto in einem sozialen Netzwerk erstellen
- Kalendereintrag erstellen
- Ein bevorzugtes WLAN-Netzwerk hinzufügen, einschließlich der Zugangsdaten für automatische Verbindung.
Was alle Befehle gemeinsam haben, ist die Automatisierung von üblichen Aktionen. Zum Beispiel können Sie durch das Scannen eines QR-Codes die Kontaktdaten einer Visitenkarte speichern, Parkgebühren bezahlen oder WLAN-Gastzugang gewähren.
Mit diesen breit gefächerten Funktionen eignen sich QR-Codes ausgezeichnet für betrügerische Manipulationen. Betrüger können beispielsweise die eigenen Kontaktdaten unter dem Namen „Bank“ auf Ihrem mobilen Gerät speichern, um dem darauffolgenden Anruf mehr Glaubwürdigkeit zu verleihen. Es ist auch möglich, gebührenpflichtige Telefonnummern auf Ihre Kosten anzurufen. Oder herauszufinden, wo Sie sich gerade befinden.
Wie Cyberverbrecher QR-Codes tarnen
Zuerst müssen Angreifer Sie dazu bringen einen QR-Code zu scannen, um Ihnen damit Schaden zuzufügen. Dafür haben die Gauner einige Tricks auf Lager.
Bösartige Quellen. Cyberverbrecher können einen QR-Code mit einem Link, der zu ihrer heimtückischen Kreation führt, auf einer Webseite oder einem Banner einbetten, der Code kann per E-Mail verschickt werden oder sogar in einer gedruckten Werbeanzeige erscheinen. In der Regel soll damit erreicht werden, dass das Opfer eine bösartige App herunterlädt. Oft ist das Logo von Google Play oder anderen App-Stores neben dem Code zu finden, wodurch er vertrauenswürdiger wirkt.
Ersetzung. Angreifer machen sich oft die Arbeit und den Ruf von legitimen Organisationen zunutze und ersetzen z. B. einen QR-Code auf einem Plakat oder Schild.
Nebenbei erwähnt, ist diese Machenschaft nicht nur unter Cyberkriminellen üblich – auch Sozialaktivisten benutzen inzwischen die Ersetzung von QR-Codes, um Ihre Ideen zu verbreiten. Beispielsweise wurde vor Kurzem ein Mann in Australien verhaftet, weil er unter Verdacht steht, QR-Codes auf Schildern am Eingang von mehreren Corona-Center durch Codes ersetzt zu haben, dessen Link zu einer Website von Impfgegnern führt.
Auch bei dieser Methode gibt es endlos viele Möglichkeiten. Es ist inzwischen vollkommen normal QR-Codes quasi überall dort vorzufinden, wo Informationen oder Anleitungen angegeben werden, wie z. B. auf Verbrauchsabrechnungen, Broschüren, Büroschildern usw.
So vermeiden Sie Probleme mit QR-Codes
Beachten Sie bei der Verwendung von QR-Codes einige Faustregeln, um auf der sicheren Seite zu bleiben:
- Scannen Sie keine QR-Codes, die aus eindeutig verdächtigen Quellen stammen.
- Achten Sie auf den Link, der nach dem Scannen angezeigt wird. Seien Sie besonders vorsichtig, wenn der Link verkürzt wurde – es gibt keine zwingenden Gründe den Link eines QR-Codes zu verkürzen. Es ist besser, die gewünschten Informationen über eine Suchmaschine oder einen offiziellen App-Store zu suchen.
- Prüfen Sie bei Plakaten oder Schildern vor dem Scannen, ob hier vielleicht ein Aufkleber angebracht wurde, der den originalen QR-Code überklebt.
- Verwenden Sie ein Programm, wie beispielsweise den QR-Scanner von Kaspersky (verfügbar für Android und iOS), das QR-Codes auf bösartige Inhalte prüft.
QR-Codes können auch wertvolle Informationen enthalten, wie Nummern von elektronischen Tickets und aus diesem Grund, sollten Sie niemals Dokumente mit QR-Codes in den sozialen Medien posten.