Die unsichtbare Gefahr hinter QR-Codes
Sie sind fast überall zu finden und machen das Leben komfortabler: QR-Codes. Doch was hinter den Codes steckt, ist oft nicht sichtbar und sie bergen grosse Risiken.
Welche Gefahren dahinterstecken und wie wir sie vermeiden, verrät dieser Artikel.
QR-Codes sind überall. Und sie sind praktisch. Sie reduzieren unseren Arbeits- und Denkaufwand und werden von Usern gerne genutzt. Die Einsatzmöglichkeiten von QR-Codes nehmen kontinuierlich zu – sie sind überall zusehen: Auf Rechnungen, Werbung, Kommunikationsmaterial – die Liste ist lang. Da wir sie so oft sehen, halten wir sie oft für eine sichere Quelle und Bedenken rücken schnell in den Hintergrund. Dabei ist es vor dem Scannen unmöglich zu wissen, was sich hinter einem QR-Code verbirgt. Hat ein User dennoch Bedenken, muss er einen Zusatzaufwand auf sich nehmen, um diese aus der Welt zu schaffen: Er muss die URL dahinter überprüfen. Für Cyberkriminelle öffnen sich damit immer mehr Möglichkeiten, bösartige QR-Codes einzuschleusen. Und unser teils blindes Vertrauen zieht Cyberkriminelle an. Aufgrund des fehlendenden Bewusstseins über die Risiken nimmt die Gefahr zu.
Die Gefahr hinter dem Code
Die in einem QR-Code kodierten Informationen beschränken sich nicht auf Webseiten: Es können beispielsweise auch Kontaktdaten, Mails, SMS oder automatisierte Wi-Fi-Verbindungen auf ein bösartiges Netzwerk dahinterstecken. So werden beispielsweise automatisch PDFs oder eine App heruntergeladen, welche potenziell schädlich sind. Ein QR-Code kann auch zu einer bösartigen Datei, einer bösartigen App oder zu einem dubiosen App-Store führen.
Für einen Betrüger ist es ein Leichtes, einen anderen, gefährlichen QR-Code auszudrucken und diesen über einen bestehenden zu kleben oder einen QR-Code hinzuzufügen, wo keiner ist. Auch bei dynamischen QR-Codes kann nicht vorausgesagt werden, auf welche Webseiten diese letztendlich führen. In einem dynamischen QR-Code ist eine kurze URL eingebettet, mit welcher der Benutzende auf die Ziel-Webseiten-URL umgeleitet werden kann. Die Ziel-URL kann geändert werden, nachdem der QR-Code generiert worden ist, während die im Code eingebettete kurze URL unverändert bleibt.
Von Malware bis zu persönlichen Informationen
QR-Codes sind eine äusserst einfache und günstige Technik zum Phishen, ähnlich wie das massenhafte Versenden von Phishing-E-Mails. Dazu braucht ein Angreifer ein Tool, um einen QR-Code zu manipulieren und er braucht die Gelegenheit, diesen unter die Leute zu bringen. Das können beispielsweise gefälschte Flyer oder Broschüren sein. Gerade weil in Drucksachen oft die URL zum QR-Code fehlt, ist es für den User fast nicht möglich, die Legitimität des QR-Codes zu prüfen. Technisch sind QR-Codes gefährlich, weil man auf eine Seite mit beispielsweise „Drive-by-Malware“ gelangen kann. Wird ein solcher QR-Code gescannt, kann beim Aufrufen der Webseite eine Schadsoftware installiert werden. Diese Gefahr ist aktuell nicht sehr wahrscheinlich, künftig kann sich das aber ändern. QR-Codes können aber auch auf eine Website führen, welche „nur“ Informationen sammelt, zum Beispiel über die Software-Versionen auf mobilen Geräten. Das wiederum kann dazu genutzt werden, den Stand der Technik auszuspionieren, um weitere Angriffe zu planen.
Es gibt zwei Haupttypen von Angriffen über QR-Codes:
- Der erste ist ein QR-Code-basierter Phishing-Angriff, der auch als Quishing bezeichnet wird. Bei diesem Angriff wird ein QR-Code verwendet, um ein Opfer auf eine Phishing-Seite zu locken, die von den Hackern so gestaltet wird, dass sie Anmeldedaten, persönlichen Daten oder andere sensible Informationen des Opfers stiehlt.
- Die zweite Hauptart von QR-Code-Angriffen ist unter dem Namen QRLjacking bekannt. Bei dieser Art von Angriff verwenden Hacker einen QR-Code, um Malware auf dem Gerät des Opfers zu verbreiten. Der Angreifer bringt den Anwender dazu, einen QR-Code zu scannen, welcher sein Gerät zu einer bösartigen URL leitet, die das Gerät mit Malware infiziert.
Wir geben Ihnen sechs goldene Tipps mit auf den Weg, wie Sie die Risiken minimieren oder gar umgehen können:
- QR-Codes (mit URL) sollten immer mit einer App gescannt werden, welche die URL im QR-Code anzeigt, bevor man bewusst zum Ziel navigiert. iPhones machen das standardmässig, für Android gibt es z.B. eine App von Secuso (Privacy Friendly QR-Code Scanner). Wenn es keine plausible URL gibt, sollte der QR-Code nicht verwendet werden.
- Nach dem Scannen und vor dem Ausführen wird bei den meisten Scannern eingeblendet, was für eine Aktion ausgeführt wird, respektive auf welche Seite verlinkt wird. Überprüfen Sie diese Angaben.
- Geben Sie niemals Anmeldeinformationen auf einer Website ein, auf die Sie über einen QR-Code zugreifen.
- Bevor Sie einen QR-Code scannen, betrachten oder berühren Sie ihn, um zu sehen, ob es sich um das Original handelt oder ein Aufkleber angebracht worden ist.
- Wenn Sie einen QR-Code scannen, der etwas Bösartiges enthält, benachrichtigen Sie sofort den Besitzer der Zeitschrift, Website, Flyer etc., an dem Sie ihn entdeckt haben und melden diese Vorfälle an NCSC.
- Greifen Sie, wenn möglich, auf Online-Dienste via Link zu, anstatt eine Abkürzung via QR-Code zu nutzen.
- National Cyber Security Centre NCSC
Quelle: Schweizer Armee
Titelbild: Symbolbild © VBS/DDPS, Andreas Müller
Für Aargau:
- CSC Desinfektion: Ihr starker Partner in Sachen professionelle Desinfektion
- City Grill-Brugg: Leckere Döner, Pides und Pizza geniessen
- Diaw Thai Restaurant in Wildegg AG: Gesunde Thai-Küche, tolles Ambiente
- Hans Blattner AG – Ihr Spezialist für Holzbau in Aarburg (AG)
- Hotel & Landgasthof Löwen in Sins AG: Rustikale Schweizer Küche geniessen
- Frühling Reinigung in Klingnau AG – hygienische Sauberkeit vom Profi
Was ist los im Kanton Aargau?
Melden Sie sich hier bei der Facebook-Kantonsgruppe an!- Verkehrsunfall in Villnachern AG: 13-jährige E-Trottinett-Lenkerin schwer verletzt
- Kleindöttingen AG: Brand eines Holzschnitzellagers im Industriegebiet
- Hendschiken AG: Frontalkollision fordert zwei Verletzte
- Safenwil AG: Motorradfahrer (17) nach Überholmanöver gestürzt – Zeugenaufruf
- Regionalpolizei Zurzibiet: Schüler der 4. und 5. Klassen haben die Veloprüfung absolviert
- Rheinfelden AG: Einbrüche in Schrebergartenhäuser
- Stadt Aarau AG: Massnahme im Zusammenhang mit Fussballspielen
- Kanton AG: Gesetz über den Bevölkerungs- und den Zivilschutz gutgeheissen
- Rega investiert in Flugzeugsimulator
- Döttingen AG: Vermisster Mann (†76) tot aufgefunden
- Cyberkriminalität: PostFinance Phishing-Mail – Identitätsbestätigung
- Unfall in Würenlos AG: Ambulanz kracht auf Dienstfahrt in Mustang – Fahrer verletzt
- Wettingen AG: Gestohlenes Fahrrad führt zu Verhaftung
- Kanto Aargau: Operation „Ninja Turtle“ entlarvt tausende Pädokriminelle
- Kanton AG: 16 Ausweisentzüge – Verkehrs- und Geschwindigkeitskontrollen über Pfingsten
- Ennetbaden AG: Unverschlossenes Auto durchsucht – zwei Personen verhaftet
- Rega-Einsätze am Pfingstwochenende
- Dättwil AG: Frontalkollision – fünf Personen verletzt
- Birr AG: Wohnung durch Brand verwüstet
- Oberkulm AG: Kollision vor Bahnübergang – Zeugenaufruf
- Baden AG: Mann (34) bei Schlägerei verletzt – Zeugenaufruf
- Suff-Unfall in Fisibach AG: Betrunkene Mercedes-Fahrerin (23) kracht gegen Baum
- Kanton Aargau: Schwerpunkte der Strafverfolgung
- Laufenburg AG: Sekundenschlaf führt zu Unfall
