QR-Codes sind in den letzten Jahren im Alltag immer präsenter geworden. Ob die Speisekarte im Restaurant, Infos zu Werbeaktionen auf Flyern oder der Zugriff aufs WLAN – immer öfter gelangen diese Infos per Scan eines QR-Codes auf die Geräte der Nutzer. Da verwundert es nicht, dass auch Kriminelle Interesse an den kleinen, schnell und kostenlos erstellten Codes haben. Beim sogenannten Quishing, also dem Phishing per QR-Code, erstellen die Hacker ihre eigenen, bösartigen QR-Codes, mit denen die Opfer in die Falle gelockt werden sollen. Anstatt zu den versprochenen Informationen führen die hinterlegten Links zu gefälschten Webseiten oder Malware.
Das funktioniert vor allem deshalb so gut, weil bei QR-Codes nicht sofort ersichtlich ist, wohin der enthaltene Link führt. Anders als bei einem herkömmlichen Link, bei dem die Nutzer mit dem Mauszeiger über die URL fahren und eine Vorschau anzeigen können, führt das Scannen eines QR-Codes die Nutzer oft direkt auf die gewünschte Website, ohne dass eine unmittelbare Warnung erfolgt. Auf mobilen Geräten, wo die meisten QR-Scans stattfinden, können Betrüger so noch leichter unerkannt operieren. Hinzu kommt, dass das Vertrauen in QR-Codes relativ hoch ist, da auch viele seriöse Unternehmen sie einsetzen, vor allem, wenn sie an Orten platziert sind, wo man sie auch erwarten würde.
Dabei gibt es verschiedene Vorgehensweisen, mit denen die Kriminellen ihre Codes platzieren. So nutzen sie beispielsweise Sticker, mit denen sie die echten QR-Codes, etwa auf Parkautomaten oder den Schaufenstern von Unternehmen, überkleben. Oft führen die Codes dann zu einer legitim aussehenden, jedoch gefälschten Webseite, auf der die Kunden ihre (Zahlungs-)Daten eingeben sollen.
Doch auch in der digitalen Welt werden die bösartigen QR-Codes verbreitet, beispielsweise per E-Mail oder Textnachricht. Auch hier gibt sich der Absender als eine legitime Quelle aus, beispielsweise als Bank, Lieferdienst oder Tech-Support. Diese Nachrichten erwecken oft ein Gefühl der Dringlichkeit und teilen den Nutzern mit, dass ihr Konto kompromittiert worden sei oder dass sie eine Zahlung bestätigen müssten. Sobald der Nutzer den Code gescannt hat, übergibt er unwissentlich seine privaten Informationen an die Hacker.
Der Schutz vor Quishing ist nicht ganz einfach, da die enthaltenen Links nicht ohne Umstände überprüft werden können. Daher sollte man genau hinsehen, bevor man einen QR-Code an einem öffentlichen Ort einscannt. Besteht nur der geringste Zweifel an der Legitimität, sollte man vom Scan absehen. Das gleiche gilt für Scans aus E-Mails oder Textnachrichten. Mittlerweile zeigen viele Kameras und QR-Scanner auch die Ziel-URL an. Hier lohnt sich ein genauerer Blick. Einige QR-Code-Scanner verfügen auch über Sicherheitsfunktionen, die vor bösartigen Links warnen.
Das funktioniert vor allem deshalb so gut, weil bei QR-Codes nicht sofort ersichtlich ist, wohin der enthaltene Link führt. Anders als bei einem herkömmlichen Link, bei dem die Nutzer mit dem Mauszeiger über die URL fahren und eine Vorschau anzeigen können, führt das Scannen eines QR-Codes die Nutzer oft direkt auf die gewünschte Website, ohne dass eine unmittelbare Warnung erfolgt. Auf mobilen Geräten, wo die meisten QR-Scans stattfinden, können Betrüger so noch leichter unerkannt operieren. Hinzu kommt, dass das Vertrauen in QR-Codes relativ hoch ist, da auch viele seriöse Unternehmen sie einsetzen, vor allem, wenn sie an Orten platziert sind, wo man sie auch erwarten würde.
Dabei gibt es verschiedene Vorgehensweisen, mit denen die Kriminellen ihre Codes platzieren. So nutzen sie beispielsweise Sticker, mit denen sie die echten QR-Codes, etwa auf Parkautomaten oder den Schaufenstern von Unternehmen, überkleben. Oft führen die Codes dann zu einer legitim aussehenden, jedoch gefälschten Webseite, auf der die Kunden ihre (Zahlungs-)Daten eingeben sollen.
Doch auch in der digitalen Welt werden die bösartigen QR-Codes verbreitet, beispielsweise per E-Mail oder Textnachricht. Auch hier gibt sich der Absender als eine legitime Quelle aus, beispielsweise als Bank, Lieferdienst oder Tech-Support. Diese Nachrichten erwecken oft ein Gefühl der Dringlichkeit und teilen den Nutzern mit, dass ihr Konto kompromittiert worden sei oder dass sie eine Zahlung bestätigen müssten. Sobald der Nutzer den Code gescannt hat, übergibt er unwissentlich seine privaten Informationen an die Hacker.
Der Schutz vor Quishing ist nicht ganz einfach, da die enthaltenen Links nicht ohne Umstände überprüft werden können. Daher sollte man genau hinsehen, bevor man einen QR-Code an einem öffentlichen Ort einscannt. Besteht nur der geringste Zweifel an der Legitimität, sollte man vom Scan absehen. Das gleiche gilt für Scans aus E-Mails oder Textnachrichten. Mittlerweile zeigen viele Kameras und QR-Scanner auch die Ziel-URL an. Hier lohnt sich ein genauerer Blick. Einige QR-Code-Scanner verfügen auch über Sicherheitsfunktionen, die vor bösartigen Links warnen.
