Ein Scan zu viel:
Weshalb man bei QR-Codes wachsam sein sollte

Sicheres Surfen

Wie bist du denn auf dieser Seite gelandet? Hast du etwa einen unscheinbaren QR-Code (Quick Response Code) eingescannt, den du irgendwo gesehen hast? In diesem Fall hatte das zwar keine schlimmen Folgen für dich. Trotzdem solltest du dir genau überlegen, was du alles einscannst mit deinem Handy. Warum, zeigt das folgende Beispiel.

iBarry

Ein Scan zu viel: Weshalb man bei QR-Codes wachsam sein sollte

Wie bist du denn auf dieser Seite gelandet? Hast du etwa einen unscheinbaren QR-Code (Quick Response Code) eingescannt, den du irgendwo gesehen hast? In diesem Fall hatte das zwar keine schlimmen Folgen für dich. Trotzdem solltest du dir genau überlegen, was du alles einscannst mit deinem Handy. Warum, zeigt das folgende Beispiel.

Eigentlich wollte man nur kurz Mehl im Supermarkt holen. Natürlich merkt man erst, wenn man vor der Parkuhr steht, dass das Portemonnaie noch zuhause auf dem Sofa liegt. Kein Problem, denkt man, die Parkuhr hat ja einen QR-Code. Das Handy ist schnell gezückt, der blockige Code rasch eingescannt und die Parkgebühr zügig bezahlt. Auch im Supermarkt selbst ist das vergessene Portemonnaie - Twint & Co. sei Dank - überhaupt kein Problem. Zücken, scannen, zahlen.

Auf dem Rückweg zum Auto erspäht man ein Poster einer tollen Band. Darauf prangt ein QR-Code, der zum Ticketshop führen soll. Zücken, scannen … und bereuen. Zu spät bemerkt man, dass der QR-Code nur ein Aufkleber war und eigentlich nicht zum Poster gehörte. Statt zum Ticketshop führte der Code auf eine betrügerische Phishing-Seite.

Was schiefgehen kann

QR-Codes sind wie Überraschungseier: Man weiss nie so genau, was man bekommt. Im Gegensatz zu herkömmlichen Phishing-Versuchen, bei denen gefälschte Links oft erkannt werden können, ist der Inhalt eines QR-Codes für das menschliche Auge unsichtbar.

Seitdem auch Cyberkriminelle die Vorteile von QR-Codes für sich entdeckt haben, bedeutet das Scannen dieser Codes manchmal nicht Spiel, Spass, Spannung, sondern eine böse Überraschung. QR-Codes können auf eine betrügerische Website führen, über die Cyberkriminelle die Daten ihrer Opfer abgreifen wollen. Ein QR-Code könnte aber auch einen Downloadlink für ein Schadprogramm, Anmeldeinformationen für dubiose WLAN-Hotspots oder eine Anweisung, Positionsdaten zu übermitteln, enthalten. Der Kreativität der Cyberkriminellen sind hier leider keine Grenzen gesetzt.

Werden QR-Codes genutzt, um Opfer bewusst in die Irre zu führen, spricht man von QR-Phishing, QR-Code-Phishing, Quishing oder auch QRishing.

Kurz gesagt

Statt auf die gewünschte Website, kann ein QR-Code auch …

Wie es mich betrifft

QR-Codes haben sich längst in unserem Alltag etabliert. Das Einlesen eines Codes ist für viele zur Routine geworden – genau das nutzen Cyberkriminelle aus. Sobald etwas alltäglich wird, hinterfragt man es nicht mehr.. Daher versenden Betrüger beispielsweise gefälschte Rechnungen mit manipulierten QR-Codes. Dafür durchforsten sie auch bereits gehackte E-Mail-Konten, um darin enthaltene echte Rechnungen zu imitieren und darauf die IBAN-Nummer auf ihre eigene zu ändern. Mittlerweile haben Cyberkriminelle diese QR-Betrugsmasche bereits weiterentwickelt: Sie erstellen QR-Codes aus speziellen Zeichen (ASCII/Unicode); dies kann verhindern, dass Sicherheitsprogramme die QR-Codes als solche erkennen.

Doch die Gefahr lauert nicht nur im digitalen Postfach, sondern auch in der realen Welt. Gefälschte und manipulierte QR-Codes sind - auch in der Schweiz - bereits auf Parkuhren, Geldautomaten, Tankstellen sowie an Schaufenstern und in Restaurants aufgetaucht. Es ist keine grosse Herausforderung für einen Betrüger, einen gefälschten QR-Code auszudrucken und diesen über einen bestehenden zu kleben - oder einen QR-Code hinzuzufügen, wo zuvor keiner war.

So schützt man sich vor QR-Gefahren

Um sich vor möglichen Gefahren hinter QR-Codes zu schützen, muss man keine teuren IT-Security-Produkte kaufen. Stattdessen ist stete Wachsamkeit gefordert:

Weitere Informationen