Die unsichtbare Gefahr hinter QR-Codes

Sie sind fast überall zu finden und machen das Leben komfortabler: QR-Codes. Doch was hinter den Codes steckt, ist oft nicht sichtbar und sie bergen grosse Risiken.

Welche Gefahren dahinterstecken und wie wir sie vermeiden, verrät dieser Artikel.

QR-Codes sind überall. Und sie sind praktisch. Sie reduzieren unseren Arbeits- und Denkaufwand und werden von Usern gerne genutzt. Die Einsatzmöglichkeiten von QR-Codes nehmen kontinuierlich zu – sie sind überall zusehen: Auf Rechnungen, Werbung, Kommunikationsmaterial – die Liste ist lang. Da wir sie so oft sehen, halten wir sie oft für eine sichere Quelle und Bedenken rücken schnell in den Hintergrund. Dabei ist es vor dem Scannen unmöglich zu wissen, was sich hinter einem QR-Code verbirgt. Hat ein User dennoch Bedenken, muss er einen Zusatzaufwand auf sich nehmen, um diese aus der Welt zu schaffen: Er muss die URL dahinter überprüfen. Für Cyberkriminelle öffnen sich damit immer mehr Möglichkeiten, bösartige QR-Codes einzuschleusen. Und unser teils blindes Vertrauen zieht Cyberkriminelle an. Aufgrund des fehlendenden Bewusstseins über die Risiken nimmt die Gefahr zu.

Die Gefahr hinter dem Code

Die in einem QR-Code kodierten Informationen beschränken sich nicht auf Webseiten: Es können beispielsweise auch Kontaktdaten, Mails, SMS oder automatisierte Wi-Fi-Verbindungen auf ein bösartiges Netzwerk dahinterstecken. So werden beispielsweise automatisch PDFs oder eine App heruntergeladen, welche potenziell schädlich sind. Ein QR-Code kann auch zu einer bösartigen Datei, einer bösartigen App oder zu einem dubiosen App-Store führen.

Für einen Betrüger ist es ein Leichtes, einen anderen, gefährlichen QR-Code auszudrucken und diesen über einen bestehenden zu kleben oder einen QR-Code hinzuzufügen, wo keiner ist. Auch bei dynamischen QR-Codes kann nicht vorausgesagt werden, auf welche Webseiten diese letztendlich führen. In einem dynamischen QR-Code ist eine kurze URL eingebettet, mit welcher der Benutzende auf die Ziel-Webseiten-URL umgeleitet werden kann. Die Ziel-URL kann geändert werden, nachdem der QR-Code generiert worden ist, während die im Code eingebettete kurze URL unverändert bleibt.

Von Malware bis zu persönlichen Informationen

QR-Codes sind eine äusserst einfache und günstige Technik zum Phishen, ähnlich wie das massenhafte Versenden von Phishing-E-Mails. Dazu braucht ein Angreifer ein Tool, um einen QR-Code zu manipulieren und er braucht die Gelegenheit, diesen unter die Leute zu bringen. Das können beispielsweise gefälschte Flyer oder Broschüren sein. Gerade weil in Drucksachen oft die URL zum QR-Code fehlt, ist es für den User fast nicht möglich, die Legitimität des QR-Codes zu prüfen. Technisch sind QR-Codes gefährlich, weil man auf eine Seite mit beispielsweise „Drive-by-Malware“ gelangen kann. Wird ein solcher QR-Code gescannt, kann beim Aufrufen der Webseite eine Schadsoftware installiert werden. Diese Gefahr ist aktuell nicht sehr wahrscheinlich, künftig kann sich das aber ändern. QR-Codes können aber auch auf eine Website führen, welche „nur“ Informationen sammelt, zum Beispiel über die Software-Versionen auf mobilen Geräten. Das wiederum kann dazu genutzt werden, den Stand der Technik auszuspionieren, um weitere Angriffe zu planen.

Es gibt zwei Haupttypen von Angriffen über QR-Codes:

  • Der erste ist ein QR-Code-basierter Phishing-Angriff, der auch als Quishing bezeichnet wird. Bei diesem Angriff wird ein QR-Code verwendet, um ein Opfer auf eine Phishing-Seite zu locken, die von den Hackern so gestaltet wird, dass sie Anmeldedaten, persönlichen Daten oder andere sensible Informationen des Opfers stiehlt.
  • Die zweite Hauptart von QR-Code-Angriffen ist unter dem Namen QRLjacking bekannt. Bei dieser Art von Angriff verwenden Hacker einen QR-Code, um Malware auf dem Gerät des Opfers zu verbreiten. Der Angreifer bringt den Anwender dazu, einen QR-Code zu scannen, welcher sein Gerät zu einer bösartigen URL leitet, die das Gerät mit Malware infiziert.

Wir geben Ihnen sechs goldene Tipps mit auf den Weg, wie Sie die Risiken minimieren oder gar umgehen können:

  • QR-Codes (mit URL) sollten immer mit einer App gescannt werden, welche die URL im QR-Code anzeigt, bevor man bewusst zum Ziel navigiert. iPhones machen das standardmässig, für Android gibt es z.B. eine App von Secuso (Privacy Friendly QR-Code Scanner). Wenn es keine plausible URL gibt, sollte der QR-Code nicht verwendet werden.
  • Nach dem Scannen und vor dem Ausführen wird bei den meisten Scannern eingeblendet, was für eine Aktion ausgeführt wird, respektive auf welche Seite verlinkt wird. Überprüfen Sie diese Angaben.
  • Geben Sie niemals Anmeldeinformationen auf einer Website ein, auf die Sie über einen QR-Code zugreifen.
  • Bevor Sie einen QR-Code scannen, betrachten oder berühren Sie ihn, um zu sehen, ob es sich um das Original handelt oder ein Aufkleber angebracht worden ist.
  • Wenn Sie einen QR-Code scannen, der etwas Bösartiges enthält, benachrichtigen Sie sofort den Besitzer der Zeitschrift, Website, Flyer etc., an dem Sie ihn entdeckt haben und melden diese Vorfälle an NCSC.
  • Greifen Sie, wenn möglich, auf Online-Dienste via Link zu, anstatt eine Abkürzung via QR-Code zu nutzen.
  • National Cyber Security Centre NCSC

 

Quelle: Schweizer Armee
Titelbild: Symbolbild © VBS/DDPS, Andreas Müller

Empfehlungen