Ein Scan zu viel:
Weshalb man bei QR-Codes wachsam sein sollte
Sicheres Surfen
Wie bist du denn auf dieser Seite gelandet? Hast du etwa einen unscheinbaren QR-Code (Quick Response Code) eingescannt, den du irgendwo gesehen hast? In diesem Fall hatte das zwar keine schlimmen Folgen für dich. Trotzdem solltest du dir genau überlegen, was du alles einscannst mit deinem Handy. Warum, zeigt das folgende Beispiel.
Ein Scan zu viel: Weshalb man bei QR-Codes wachsam sein sollte
Wie bist du denn auf dieser Seite gelandet? Hast du etwa einen unscheinbaren QR-Code (Quick Response Code) eingescannt, den du irgendwo gesehen hast? In diesem Fall hatte das zwar keine schlimmen Folgen für dich. Trotzdem solltest du dir genau überlegen, was du alles einscannst mit deinem Handy. Warum, zeigt das folgende Beispiel.
Eigentlich wollte man nur kurz Mehl im Supermarkt holen. Natürlich merkt man erst, wenn man vor der Parkuhr steht, dass das Portemonnaie noch zuhause auf dem Sofa liegt. Kein Problem, denkt man, die Parkuhr hat ja einen QR-Code. Das Handy ist schnell gezückt, der blockige Code rasch eingescannt und die Parkgebühr zügig bezahlt. Auch im Supermarkt selbst ist das vergessene Portemonnaie - Twint & Co. sei Dank - überhaupt kein Problem. Zücken, scannen, zahlen.
Auf dem Rückweg zum Auto erspäht man ein Poster einer tollen Band. Darauf prangt ein QR-Code, der zum Ticketshop führen soll. Zücken, scannen … und bereuen. Zu spät bemerkt man, dass der QR-Code nur ein Aufkleber war und eigentlich nicht zum Poster gehörte. Statt zum Ticketshop führte der Code auf eine betrügerische Phishing-Seite.
Was schiefgehen kann
QR-Codes sind wie Überraschungseier: Man weiss nie so genau, was man bekommt. Im Gegensatz zu herkömmlichen Phishing-Versuchen, bei denen gefälschte Links oft erkannt werden können, ist der Inhalt eines QR-Codes für das menschliche Auge unsichtbar.
Seitdem auch Cyberkriminelle die Vorteile von QR-Codes für sich entdeckt haben, bedeutet das Scannen dieser Codes manchmal nicht Spiel, Spass, Spannung, sondern eine böse Überraschung. QR-Codes können auf eine betrügerische Website führen, über die Cyberkriminelle die Daten ihrer Opfer abgreifen wollen. Ein QR-Code könnte aber auch einen Downloadlink für ein Schadprogramm, Anmeldeinformationen für dubiose WLAN-Hotspots oder eine Anweisung, Positionsdaten zu übermitteln, enthalten. Der Kreativität der Cyberkriminellen sind hier leider keine Grenzen gesetzt.
Werden QR-Codes genutzt, um Opfer bewusst in die Irre zu führen, spricht man von QR-Phishing, QR-Code-Phishing, Quishing oder auch QRishing.
Kurz gesagt
Statt auf die gewünschte Website, kann ein QR-Code auch …
- auf eine Phishing-Website leiten,
- einen Downloadlink für ein Schadprogramm enthalten,
- Anmeldeinformationen für dubiose WLAN-Hotspots übermitteln,
- oder eine Anweisung, Positionsdaten zu übermitteln, senden.
Wie es mich betrifft
QR-Codes haben sich längst in unserem Alltag etabliert. Das Einlesen eines Codes ist für viele zur Routine geworden – genau das nutzen Cyberkriminelle aus. Sobald etwas alltäglich wird, hinterfragt man es nicht mehr.. Daher versenden Betrüger beispielsweise gefälschte Rechnungen mit manipulierten QR-Codes. Dafür durchforsten sie auch bereits gehackte E-Mail-Konten, um darin enthaltene echte Rechnungen zu imitieren und darauf die IBAN-Nummer auf ihre eigene zu ändern. Mittlerweile haben Cyberkriminelle diese QR-Betrugsmasche bereits weiterentwickelt: Sie erstellen QR-Codes aus speziellen Zeichen (ASCII/Unicode); dies kann verhindern, dass Sicherheitsprogramme die QR-Codes als solche erkennen.
Doch die Gefahr lauert nicht nur im digitalen Postfach, sondern auch in der realen Welt. Gefälschte und manipulierte QR-Codes sind - auch in der Schweiz - bereits auf Parkuhren, Geldautomaten, Tankstellen sowie an Schaufenstern und in Restaurants aufgetaucht. Es ist keine grosse Herausforderung für einen Betrüger, einen gefälschten QR-Code auszudrucken und diesen über einen bestehenden zu kleben - oder einen QR-Code hinzuzufügen, wo zuvor keiner war.
So schützt man sich vor QR-Gefahren
Um sich vor möglichen Gefahren hinter QR-Codes zu schützen, muss man keine teuren IT-Security-Produkte kaufen. Stattdessen ist stete Wachsamkeit gefordert:
- Muss ich diesen QR-Code wirklich scannen? Man kann nicht sicher sein, was sich hinter einem QR-Code verbirgt; deshalb sollte man sich zweimal überlegen, ob man diesen wirklich einscannen will. Ist nicht klar, wer der Urheber des Codes ist, sollte man kein unnötiges Risiko eingehen und es sein lassen.
- Wurde der QR-Code aufgeklebt oder manipuliert? Bevor man einen Code einscannt, sollte man diesen prüfen. Vielleicht handelt es sich nur um einen aufgeklebten Sticker, der da eigentlich nicht hingehört. Im Zweifelsfall sollte man darauf verzichten, den Code zu scannen.
- Ruft der QR-Code die gewünschte Website auf? Will man trotzdem einen QR-Code scannen, empfiehlt es sich, die Standard-Kamera-App von Android oder iPhone zu nutzen. Seriöse Apps wie diese zeigen nämlich zuerst an, welche Website der Code aufrufen oder welche Aktion er ausführen will. Es geschieht also nichts, bis der Nutzer bzw. die Nutzerin die Aktion überprüft und bestätigt. Scannen, denken, klicken!
- Ist die Website, auf der ich gelandet bin, wirklich vertrauenswürdig? Auch wenn der QR-Code und die Website seriös erscheinen, sollte man weiterhin achtsam bleiben. Vermehrt tauchen nämlich dynamische QR-Codes auf, in denen eine kurze URL eingebettet ist. Diese leitet anschliessend auf die eigentliche Ziel-Website um. Und da Betrugsversuche zudem immer raffinierter werden, sollte man selbst auf vermeintlich vertrauenswürdigen Websites dennoch auf der Hut bleiben (mehr dazu im Abschnitt “Weitere Informationen”).
Weitere Informationen
- BACS: QR-Codes – Anwendungen und Risiken: https://www.ncsc.admin.ch/ncsc/de/home/infos-fuer/infos-private/aktuelle-themen/qr-code-anwendungen-und-risiken.html
- SwissCybersecurity.net: QR-Codes aus ASCII/Unicode-Blöcken: https://www.swisscybersecurity.net/news/2024-10-11/barracuda-identifiziert-neue-qr-phishing-methoden
- SwissCybersecurity.net: Gauner fälschen QR-Codes auf Parkautomaten: https://www.swisscybersecurity.net/news/2024-07-11/gauner-faelschen-qr-codes-auf-parkautomaten
- E-Banking aber sicher: Quick Response-Code (QR-Code): https://www.ebas.ch/quick-response-code-qr-code/
- E-Banking aber sicher: QR-Rechnung: https://www.ebas.ch/qr-rechnung/
- iBarry: Wie wir in der digitalen Welt getäuscht werden: https://www.ibarry.ch/de/risiken-im-internet/social-engineering-fake-news/
- SKP: Informationen zu Phishing und der Rechtslage in der Schweiz: https://www.skppsc.ch/de/themen/internet/phishing/
- SwissCybersecurity.net: Wie Sie Phishing erkennen: https://www.swisscybersecurity.net/cybersecurity/2022-03-30/wie-sie-phishing-erkennen/0lt0
- SwissCybersecurity.net: Wie man Fake-Onlineshops erkennt: https://www.swisscybersecurity.net/news/2023-08-09/wie-man-fake-onlineshops-erkennt/0lt0