QR-Codes

QR-Code: Steht QR für „quick response“ (schnelle Reaktion) oder „quite risky“ (risikoreich)?

Erfahren Sie, wie Sie sich vor Betrugsversuche mit QR-Codes schützen können.

Hugh Aver
7 Mai 2021

Ob auf Joghurtbechern, Stromrechnungen, Lottoscheinen oder in Museumsausstellungen – QR-Codes sind in allen möglichen Lebensbereichen zu finden. Diese schwarz-weißen Quadrate werden u. a. verwendet für Webseitenaufrufe, das Herunterladen von Apps, das Sammeln von Treuepunkten, für Zahlungen sowie Überweisungen und sogar für Spenden an gemeinnützige Organisationen. Die zugängliche und praktische Technologie ist für viele Menschen nützlich, einschließlich, wie immer, auch für Cyberkriminelle, die inzwischen schon einige raffinierte Betrugsmaschen mit QR-Codes durchgeführt haben. Lesen Sie weiter und entdecken Sie, was mit den allgegenwärtigen schwarz-weißen Kästchen alles schiefgehen kann und wie Sie die geheimnisvollen Quadrate trotzdem sorgenlos verwenden können.

Was sind QR-Codes und wofür werden sie gebraucht?

Fast alle Menschen besitzen heutzutage ein Smartphone. Viele der neusten Modelle verfügen über einen eingebauten QR-Code-Scanner. Für ältere Modelle steht eine große Auswahl an QR-Code-Apps zur Verfügung und es können auch spezielle Apps für beispielsweise ein Museum heruntergeladen werden.

Ein QR-Code mit dem Smartphone zu scannen geht ganz einfach: Sie öffnen die App und richten das Objektiv der Kamera auf den QR-Code. Meistens wird daraufhin eine Push-Benachrichtigung geöffnet, die Sie auffordert eine bestimmte Webseite zu besuchen oder eine App herunterzuladen. Es gibt aber auch andere Möglichkeiten, auf die wir gleich ausführlicher eingehen werden.

Spezialisierte Scanner funktionieren mit einer Reihe von spezifischen QR-Codes. Einen solchen Code können Sie z. B. auf dem Schild neben einem geschichtsträchtigen Baum im Park finden. Wenn Sie den Code über die offizielle App des Parks scannen, dann wird Ihnen möglicherweise eine geführte Tour angezeigt, während ein Benutzer ohne diese App nur Zugriff auf die Beschreibung des Baums erhält.

Es gibt auch Apps, die QR-Codes erstellen können, damit jede Person, die den Code scannt, bestimmte Informationen erhält. Sie können z. B. einen QR-Code mit dem Namen und Passwort Ihres Gast-WLANs oder mit Ihren Bankkontodaten generieren.

Wie Cyberverbrecher QR-Codes verwenden

Eigentlich entsprechen QR-Codes der fortschrittlichen Version von Barcodes – da kann doch eigentlich nichts Schlimmes passieren, oder? Leider ist eher das Gegenteil der Fall. Menschen können QR-Codes nicht lesen, bzw. im Voraus nicht wissen, was nach dem Scannen passieren wird. Also vertrauen wir auf die Integrität des Erstellers dieses schwarz-weißen Würfelmusters. Wir können auch nicht wissen, was alles in einem QR-Code enthalten ist, noch nicht einmal, wenn wir den Code selbst erstellen. Folglich bietet das System mit den kleinen Quadraten den Cyberkriminellen eine oft unterschätzte Angriffsfläche.

Gefälschte Links

Ein QR-Code, der von einem Cyberverbrecher erstellt wurde, kann möglicherweise eine Phishing-Seite öffnen, die wie die Anmeldeseite eines sozialen Netzwerkes oder einer Online-Bank aussieht. Aus diesem Grund raten wir Links immer zu überprüfen, bevor darauf geklickt oder getippt wird. Bei einem QR-Code können solche Überprüfungen leider nicht durchgeführt werden. Angreifer benutzten meistens auch sehr kurze Links, damit die Fälschung nicht entdeckt wird, bevor das Smartphone die Bestätigung anfordert.

Mit ähnlichen Methoden können Benutzer dazu verleitet werden, unwissentlich die falsche App herunterzuladen und anstatt dem gewünschten Videospiel oder dem richtigen Tool, eine Malware auf dem Gerät zu installieren. Wenn die Malware einmal auf dem Gerät installiert ist, kann sie grenzenlosen Schaden anrichten: Passwörter stehlen, bösartige Nachrichten an die gespeicherten Kontakte schicken und vieles mehr.

QR-Codes mit verschlüsselten Befehlen

Abgesehen von eingebetteten URLs, die auf Websites weiterleiten, können QR-Codes auch Befehle enthalten, um bestimmte Aktionen auszuführen. Auch hier stehen unzählige Möglichkeiten zur Verfügung – die folgenden Beispiele sind nur ein kleiner Vorgeschmack:

Kontakte hinzufügen
Einen Anruf tätigen
Eine E-Mail entwerfen und die Empfänger angeben sowie die Betreffzeile ausfüllen
Einen Text verschicken
Ihren Standort mit einer App teilen
Ein Konto in einem sozialen Netzwerk erstellen
Kalendereintrag erstellen
Ein bevorzugtes WLAN-Netzwerk hinzufügen, einschließlich der Zugangsdaten für automatische Verbindung.

Was alle Befehle gemeinsam haben, ist die Automatisierung von üblichen Aktionen. Zum Beispiel können Sie durch das Scannen eines QR-Codes die Kontaktdaten einer Visitenkarte speichern, Parkgebühren bezahlen oder WLAN-Gastzugang gewähren.

Mit diesen breit gefächerten Funktionen eignen sich QR-Codes ausgezeichnet für betrügerische Manipulationen. Betrüger können beispielsweise die eigenen Kontaktdaten unter dem Namen „Bank“ auf Ihrem mobilen Gerät speichern, um dem darauffolgenden Anruf mehr Glaubwürdigkeit zu verleihen. Es ist auch möglich, gebührenpflichtige Telefonnummern auf Ihre Kosten anzurufen. Oder herauszufinden, wo Sie sich gerade befinden.

Wie Cyberverbrecher QR-Codes tarnen

Zuerst müssen Angreifer Sie dazu bringen einen QR-Code zu scannen, um Ihnen damit Schaden zuzufügen. Dafür haben die Gauner einige Tricks auf Lager.

Bösartige Quellen. Cyberverbrecher können einen QR-Code mit einem Link, der zu ihrer heimtückischen Kreation führt, auf einer Webseite oder einem Banner einbetten, der Code kann per E-Mail verschickt werden oder sogar in einer gedruckten Werbeanzeige erscheinen. In der Regel soll damit erreicht werden, dass das Opfer eine bösartige App herunterlädt. Oft ist das Logo von Google Play oder anderen App-Stores neben dem Code zu finden, wodurch er vertrauenswürdiger wirkt.

Ersetzung. Angreifer machen sich oft die Arbeit und den Ruf von legitimen Organisationen zunutze und ersetzen z. B. einen QR-Code auf einem Plakat oder Schild.

Nebenbei erwähnt, ist diese Machenschaft nicht nur unter Cyberkriminellen üblich – auch Sozialaktivisten benutzen inzwischen die Ersetzung von QR-Codes, um Ihre Ideen zu verbreiten. Beispielsweise wurde vor Kurzem ein Mann in Australien verhaftet, weil er unter Verdacht steht, QR-Codes auf Schildern am Eingang von mehreren Corona-Center durch Codes ersetzt zu haben, dessen Link zu einer Website von Impfgegnern führt.

Auch bei dieser Methode gibt es endlos viele Möglichkeiten. Es ist inzwischen vollkommen normal QR-Codes quasi überall dort vorzufinden, wo Informationen oder Anleitungen angegeben werden, wie z. B. auf Verbrauchsabrechnungen, Broschüren, Büroschildern usw.

So vermeiden Sie Probleme mit QR-Codes

Beachten Sie bei der Verwendung von QR-Codes einige Faustregeln, um auf der sicheren Seite zu bleiben:

Scannen Sie keine QR-Codes, die aus eindeutig verdächtigen Quellen stammen.
Achten Sie auf den Link, der nach dem Scannen angezeigt wird. Seien Sie besonders vorsichtig, wenn der Link verkürzt wurde – es gibt keine zwingenden Gründe den Link eines QR-Codes zu verkürzen. Es ist besser, die gewünschten Informationen über eine Suchmaschine oder einen offiziellen App-Store zu suchen.
Prüfen Sie bei Plakaten oder Schildern vor dem Scannen, ob hier vielleicht ein Aufkleber angebracht wurde, der den originalen QR-Code überklebt.
Verwenden Sie ein Programm, wie beispielsweise den QR-Scanner von Kaspersky (verfügbar für Android und iOS), das QR-Codes auf bösartige Inhalte prüft.

QR-Codes können auch wertvolle Informationen enthalten, wie Nummern von elektronischen Tickets und aus diesem Grund, sollten Sie niemals Dokumente mit QR-Codes in den sozialen Medien posten.

Cybersicherheit in der zweiten Staffel von The Mandalorian

Wir prüfen die Erben des Galaktischen Imperiums auf Cybersicherheit

Tipps

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

So unterscheidest du echte Fotos und Videos von Fakes und stellst ihre Herkunft fest

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

So stellst du den Cyberschutz deines Computers oder Smartphones auf die am häufigsten ausgezeichnete Kaspersky-Sicherheitslösung um.

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Du hast eine Nachricht von deinem Chef oder einem Kollegen erhalten, in der du auf unerwartete Weise aufgefordert wirst, ein Problem zu beheben? Achtung vor Betrügern! Wie schützt du dich und dein Unternehmen vor einem möglichen Angriff?

Mehr Sicherheit für Privatanwender

Sicherheitsunternehmen bieten intelligente Technologien – in erster Linie Kameras – an, um dein Zuhause vor Einbruch, Feuer und anderen Zwischenfällen zu schützen. Aber wie wäre es, diese Sicherheitssysteme selbst vor Eindringlingen zu schützen? Das ist eine Lücke, die wir füllen.

KOSTENLOSE TOOLS

TARGETED SECURITY-LÖSUNGEN

ENTERPRISE SOLUTIONS

QR-Code: Steht QR für „quick response“ (schnelle Reaktion) oder „quite risky“ (risikoreich)?

Was sind QR-Codes und wofür werden sie gebraucht?

Wie Cyberverbrecher QR-Codes verwenden

Gefälschte Links

QR-Codes mit verschlüsselten Befehlen

Wie Cyberverbrecher QR-Codes tarnen

So vermeiden Sie Probleme mit QR-Codes

Sie haben eine E-Mail mit einem QR-Code erhalten? Achtung!

Gefälschter GreenPass aus dem Internet – was schief gehen kann

Cybersicherheit in der zweiten Staffel von The Mandalorian

Tipps

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Mehr Sicherheit für Privatanwender

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen

LÖSUNGEN FÜR HEIMANWENDER

KLEINE UNTERNEHMEN

MITTLERE UNTERNEHMEN

GROSSE UNTERNEHMEN

Securelist

Eugene Personal Blog

Enzyklopädie