QR-Codes: Praktisch… und gefährlich

Mittlerweile sieht man diese quadratischen Bildchen überall – in Anzeigen, in Magazinen und auf Postern. Sie sind der einfachste und günstigste Weg in die virtuelle Welt. Man muss nur mit

Mittlerweile sieht man diese quadratischen Bildchen überall – in Anzeigen, in Magazinen und auf Postern. Sie sind der einfachste und günstigste Weg in die virtuelle Welt. Man muss nur mit der Kamera des Smartphones ein Foto so eines QR-Codes machen, und schon kann man dem Link zu mehr Informationen auf einer Webseite folgen, eine Telefonnummer abspeichern oder eine App herunterladen. Marketing-Leute lieben diese Technik wegen ihrer Einfachheit, aber genau deshalb lieben auch Cyber-Kriminelle diese Technik. Deshalb sollten Sie vorsichtig sein, wenn Sie die Kamera Ihres Smartphones auf einen QR-Code richten.

Ein QR-Code (das QR steht für „Quick Response“) kann alle möglichen Informationen und/oder Links zu Online-Ressourcen enthalten. In Asien sind QR-Codes schon länger sehr beliebt, in Europa und Amerika sieht man sie immer häufiger. Sie sind im Grunde bereits überall: Auf Werbetafeln, auf Produkten im Laden, auf Webseiten, auf Eintrittskarten und Coupons… Die Liste könnte man endlos fortsetzen. Gleichzeitig werden aber auch Betrügereien mit QR-Codes immer beliebter. Immer öfter werden schädliche QR-Codes direkt über legitime Codes geklebt. Diese Vorgehensweise, die dem Phishing ähnelt, wird mittlerweile als QRishing bezeichnet.

Man muss gar nicht viel Fantasie haben, um zu kapieren, wie gefährlich ein QR-Code werden kann, wenn er in der Öffentlichkeit gezeigt wird: in der U-Bahn, am Flughafen, im Bahnhof oder in einer Bank am Geldautomaten. Viele Menschen vertrauen den Plakaten und Anzeigen bedingungslos und würden nie glauben, dass zum Beispiel in einer Bank eine solche Gefahr lauern könnte.

Wenn man einen QR-Code fotografiert, wird der darin codierte Link zunächst im Display angezeigt; allerdings nutzen Cyber-Kriminelle auch URL-Verkürzungsdienste wie bit.ly und andere, um die eigentliche Webadresse zu verschleiern. Denn diese könnte zu einer infizierten Webseite führen, die die vertraulichen Daten des Anwenders stiehlt, oder zu einer Phishing-Seite. Weiter kompliziert wird das Ganze, da mobile Browser manchmal nicht in der Lage sind, die komplette URL der geöffneten Seite anzuzeigen. Das ist ein echter Nachteil, wenn man einen Betrugsversuch erkennen möchte. Und um alles noch schlimmer zu machen, sind mobile Geräte oft nicht so gut vor Schadprogrammen geschützt.

Hier drei einfache Tipps, wie Sie das QR-Risiko senken können:

  1. Seien Sie vorsichtig. Vergewissern Sie sich vor dem fotografieren eines QR-Codes, dass er keinen anderen überdeckt. Wenn Sie sich nicht sicher sind, fotografieren Sie ihn nicht.
  2. Prüfen Sie gleich nach dem Öffnen eines Links, dass Sie der QR-Code auch genau dorthin gebracht hat, wohin Sie gelangen wollten. Wenn es darum geht, eine App zu installieren, vergewissern Sie sich, dass sie auch wirklich von der Firma entwickelt worden ist, deren Anzeige Sie gesehen haben. Lesen Sie auch die Bewertungen der anderen Nutzer zu der App. Wenn es nur sehr wenige oder gar keine Bewertungen gibt, ist es am besten, die Installation zu verschieben. Wenn ein QR-Code zu einer Webseite führt, prüfen Sie die komplette URL; sonst könnten Sie Opfer eines Phishing-Versuchs werden. Besondere Vorsicht ist geboten, wenn Sie vertrauliche Daten oder Passwörter eingeben müssen, inklusive E-Mail-Logins und Bankdaten.
  3. Wenn Ihr Smartphone es erlaubt Security-Lösungen zu installieren, die Webseiten beim Öffnen auf schädliche Inhalte und Downloads auf Viren prüfen, sollten Sie so eine App installieren. Das gilt vor allem für Android-Geräte, die mittlerweile von Tausenden Schadprogrammen attackiert werden.
Tipps