QR-Codes: Quadratische Matrix mit unterschätzter Angriffsfläche

Seit der „Corona“-Pandemie steigt die Nutzung und damit auch die Gefahr von möglichen Cyberrisiken / BullGuard erklärt, welche Gefahren drohen, und gibt Tipps, wie Nutzer bösartige Codes erkennen und ihr Smartphone schützen können

[datensicherheit.de, 24.03.2021] Ob auf Plakatwänden, Visitenkarten, Verpackungen oder in Magazinen – QR-Codes sind in allen möglichen Lebensbereichen zu finden. Die kleinen Quadrate mit schwarzen und weißen Punkten fungieren als Brücke von der Offline- in die Online-Welt. QR steht dabei für Quick Response, also schnelle Antwort. Denn die Codes bringen die Benutzer in nur wenigen Sekunden in das Internet. Sie müssen dafür nur einen Barcode-Scanner auf ihrem Smartphone installieren, die App aufrufen und ihr Gerät über das zweidimensionale Muster halten. Bereits seit mehr als 25 Jahren auf dem Markt, erleben QR-Codes seit Corona einen neuen Aufschwung. Der QR-Code entpuppt sich als optimales, berührungsloses Medium – und wird daher zum Beispiel von Gastronomen für digitale Speisekarten und zur Kontaktrückverfolgung genutzt. Aber auch in der Corona-Warn-App können Testergebnisse beispielsweise per QR-Code an die App gemeldet werden.

Bewusstsein für Sicherheitsrisiken von QR-Codes fehlt

„QR-Codes sind eine tolle Möglichkeit, um den Funktionsumfang von Smartphones zu erweitern. Gerade in Zeiten einer Pandemie eignen sie sich hervorragend für den kontaktlosen Austausch von Informationen “, so Stefan Wehrhahn, Country Manager DACH & Benelux bei BullGuard. „Oft fehlt Nutzern jedoch ein Bewusstsein für mögliche Risiken. Daraus ergibt sich ein ideales Einfallstor für Cyberkriminelle. Sie missbrauchen QR-Codes für sogenannte Social-Engineering-Attacken, nutzen also menschliche Schwächen, um unrechtmäßig an persönliche Informationen zu gelangen. Gerade jetzt, bevor die Gastronomie wieder ihre Türen öffnet, müssen sich QR-Code-Nutzer daher mit den potenziellen Gefahren für ihre mobile Sicherheit auseinandersetzen.“

Cyberkriminelle nutzen die Situation aus, dass Verbraucher QR-Codes grundsätzlich Vertrauen schenken. Sie gehen davon aus, dass die vom Code gewählte Zieladresse legitim ist. Ob dies tatsächlich so ist, kann der Einzelne jedoch meist nicht so einfach nachvollziehen. Denn die Webseiten und Inhalte, zu denen die Codes letztlich führen, sind zunächst in schwarz-weißen Punkten versteckt. Cyberkriminelle können QR-Codes daher nutzen, um über bösartige Links auf mit Schadstoffsoftware versehene Webseiten oder Phishing-Webseiten umzuleiten. Auf diese Weise könnten sich Angreifer zum Beispiel Zugang zu Kontakt- und Kreditkarteninformationen verschaffen, einen Jailbreak vornehmen sowie Keylogger oder GPS-Tracker installieren. Werden für den QR-Code zusätzlich Tools wie „bit.ly“ verwendet, um die URL zu kürzen und die eigentliche Webadresse zu verschleiern, haben Verbraucher erst recht keine Chance, die Links vor Weiterleitung auf Vertrauenswürdigkeit zu prüfen. „Cyberkriminelle können einen QR-Code nicht einfach hacken. Sie können ihn jedoch leicht ersetzen, indem sie zum Beispiel QR-Codes auf Plakaten oder Menükarten einfach überkleben oder Phishing-Mails mit schädlichen Codes versenden“, erklärt Wehrhahn und gibt QR-Code-Nutzern im Folgenden fünf praktische Ratschläge, wie sie bösartige Codes erkennen und vermeiden können.

Fünf Tipps von BullGuard für die sichere Nutzung von QR-Codes

• Nutzen Sie nur QR-Code-Scanner-Apps, die eine Vorschau der URLs bieten und nicht sofort, ohne zu fragen, die hinterlegte Webseite öffnen. Erscheint Ihnen die URL verdächtig oder nicht zur Werbeanzeige passend, lassen Sie sich nicht zur Webseite weiterleiten. Vermeiden Sie zudem verkürzte Links. Und seien Sie besonders vorsichtig bei QR-Codes, die mit Zahlungs- und Transaktionsdiensten verknüpft sind. Diese werden von Cyberkriminellen bei der Auswahl von Angriffsmethoden und -orten oft bevorzugt.
• Scannen Sie keine QR-Codes in Form von Aufklebern, die wahllos an Wänden angebracht sind. Denn: Diese können von jedem generiert und an öffentlichen Orten angebracht worden sein, auch von Cyberkriminellen. Achten Sie generell darauf, keinen QR-Code zu scannen, der über einen anderen QR-Code geklebt wurde.
• Überprüfen Sie direkt nach dem Öffnen eines Links die Webseite. Prüfen Sie, ob der QR-Code Sie zu der Adresse geführt hat, zu der Sie gelangen wollten. Seien Sie besonders vorsichtig, wenn Sie auf einer Seite dazu aufgefordert werden, eine App zu installieren oder vertrauliche Informationen wie Passwörter zu teilen.
• Seien Sie besonders vorsichtig, wenn Ihr Smartphone mit dem Betriebssystem Android arbeitet. Android ist eine offene Plattform, was bedeutet, dass Schwachstellen von Kriminellen leicht ausgenutzt werden können. Aus diesem Grund zielen die meisten bösartigen Apps, die über QR-Codes übertragen werden, auf Android-basierte Smartphones ab. Stellen Sie sicher, dass Ihr Android-Browser immer auf dem neuesten Stand ist und scannen Sie nur QR-Codes aus vertrauenswürdigen Quellen.
• Installieren und nutzen Sie eine mobile Sicherheits-App. Eine effiziente mobile Security-Suite wie die BullGuard Mobile Security kann Sie vor allen Arten von Malware schützen, die über QR-Codes übertragen werden könnten. Die BullGuard Mobile Security verfügt über ein leistungsstarkes, Cloud-basiertes Virenschutzprogramm und einen Mobile Security Manager, mit dem Sie Ihr Gerät auf mögliche Infektionen scannen und zum Beispiel Einstellungen für eine Diebstahlsicherung vornehmen können.

Weitere Informationen zum Thema:

datensicherheit.de, 25.06.2016
Windows 10: Neue Blue Screens mit QR-Code