[datensicherheit.de, 21.01.2026] „Vor Kurzem hat das ,Threat Labs’-Team von KnowBe4 in einem Blog-Beitrag eine deutliche Zunahme von Angriffen, bei denen die chinesische App ‚WeChat‘ zum Einsatz kommt, festgestellt“, berichtet Dr. Martin J. Krämer, „CISO Advisor“ bei KnowBe4, in seiner aktuellen Stellungnahme. Diese App kann demnach von Anwendern sowohl für Nachrichten und „Social Media“-Beiträge als auch zum Bezahlen genutzt werden. Der Umstand indes, dass diese nur schwer zu sichern und zu überwachen sei, mache sie zu einer idealen Arbeitsumgebung für Cyberkriminelle. Mit dem Anstieg der Nutzung dieser App in westlichen Ländern gerieten nun zunehmend auch US-amerikanische und europäische Nutzer ins Fadenkreuz der Angreifer. Am effektivsten – da umfassendsten – helfen kann ihnen hier laut Krämer der Einsatz eines modernen „Human Risk Management“-Systems.

Foto: KnowBe4

Dr. Martin J. Krämer: Unternehmen müssen sich wappnen!

QRC-Köder: Cyberangreifer werden automatisch „WeChat“-Kontakten hinzugefügt

Krämer erläutert: „Ein Angriff beginnt hier in aller Regel mit dem Empfang einer E-Mail, in der dem Opfer ein Angebot unterbreitet wird. Mal ist es geschäftlicher, mal privater Natur. Immer aber wird das Opfer am Ende der E-Mail zur Kontaktaufnahme über ,WeChat’ aufgefordert, um das Angebot zu besprechen.“

• Über einen beigelegten QR-Code (QRC) solle es mit dem Absender in Kontakt treten. „Scannt das Opfer den QR-Code mit seinem Smartphone ein, wird der Angreifer automatisch zu seinen ,WeChat’-Kontakten hinzugefügt.“

In einem zweiten Schritt beginne der Angreifer dann, über „WeChat“ mit dem Opfer zu chatten – zunächst, um Vertrauen aufzubauen, und schließlich, um den eigentlichen Angriff zu starten. Meist handele es sich hierbei um einen Finanzbetrug, zum Beispiel einen „Romance-Scam“, wobei der Transfer der Gelder dann ebenfalls über die Plattform – via „WeChat Pay“ – abgewickelt werde.

„WeChat“-Zahlungsdienst nur schwer nachzuverfolgen

Angreifern biete „WeChat“ ideale Arbeitsbedingungen – der Zahlungsdienst sei nur schwer nachzuverfolgen. Einmal eingeleitete Transaktionen könnten nur schwer rückgängig gemacht und grenzüberschreitende Ermittlungen allenfalls verlangsamt umgesetzt werden. „Kein Wunder, dass die Zahl der Angriffe, bei denen versucht wird, die Opfer auf ,WeChat’ zu bringen, in den vergangenen Jahren spürbar zugenommen hat“, so Krämer.

• 2024 enthielten laut dem „Threat Labs“-Team von KnowBe4, lediglich 0,04 Prozent der von „KnowBe4 Defend“ in den USA und der EMEA-Region (Wirtschaftsraum Europa – Naher Osten – Afrika) entdeckten Phishing-E-Mails „WeChat“-QR-Codes.

Anfang 2025 sei dieser Wert bereits auf 1,43 Prozent gestiegen. Im November 2025 schließlich seien 5,1 Prozent erreicht worden. Das Gesamtvolumen sei damit zwar nach wie vor noch relativ gering. Doch entspreche dies einem Anstieg von 3.475 Prozent – innerhalb nur eines Jahres.

Um „WeChat“-Missbrauch zu erkennen, müssen fortschrittliche E-Mail-Sicherheitslösungen implementiert werden

Krämer unterstreicht: „Dieser dramatische Anstieg macht deutlich: Unternehmen müssen sich wappnen!“ Um Angreifer, welche auf Plattformen wie „WeChat“ zurückgreifen, zu erkennen, müssten sie fortschrittliche E-Mail-Sicherheitslösungen implementieren. Solche Lösungen nutzten mittlerweile KI-gestützte Erkennungstechnologien, wie „Natural Language Processing“ (NLP) und „Natural Language Understanding“ (NLU), um sprachliche Merkmale von Phishing zu identifizieren.

• Genauso wichtig sei es aber auch, das Bewusstsein der Mitarbeiter dafür zu schärfen, „dass Plattformen wie ,WeChat’ zunehmend auch von Cyberkriminellen genutzt werden“.

Dies könne sowohl durch traditionelle Sensibilisierungskampagnen und Schulungen erreicht werden als auch durch Echtzeit-Hinweise und -Coachings. Durch eine eng verzahnte Kombination von „Tools“ und Schulungen könnten Unternehmen der wachsenden Bedrohung durch „WeChat“ ausnutzende Cyberkriminelle entgegenwirken.

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Dr. Martin J. Krämer

knowbe4 Threat Lab, Cameron Sweeney & Lucy Gee & Louis Tiley & James Dyer, 18.12.2025
WeChat Phishing Attacks a Growing Threat Outside China

knowbe4
Defend: Advanced Inbound Email Threat Defense / KnowBe4 Defend uses behavioral AI to detect sophisticated phishing attacks that traditional email security tools miss.

datensicherheit.de, 24.09.2024
Pig Butchering Scams verleiten Opfer zu unseriösen Finanzgeschäften / Schadensvolumen dieser Unterart der „Romance Scams“ hat mittlerweile bemerkenswerte Größenordnung erreicht

[datensicherheit.de, 03.10.2025] Das Europäische Verbraucherzentrum Deutschland (EVZ) warnt in einer aktuellen Stellungnahme: „Was als harmloser Verkauf eines gebrauchten Artikels beginnt, kann für Verbraucher teuer enden!“ Statt Geld für ihre Ware zu bekommen, habe z.B. eine Betroffene fast 3.000 Euro verloren – damit sei sie leider kein Einzelfall. Das EVZ macht auf Betrüger aufmerksam, welche sich auf europäischen „Second Hand“-Web-Plattformen tummeln.

Sensible Daten wie Online-Banking-Zugangsdaten oder Kreditkartennummern im Fokus der Betrüger

Vermeintliche Kaufinteressenten nehmen demnach über europäische Online-Verkaufsplattformen wie „Vinted“ oder „Kleinanzeigen“ Kontakt zu den potenziellen Opfern auf. Dabei werde nach einer Telefonnummer oder einer privaten E-Mail-Adresse gefragt.

• In der Hoffnung, eine Zahlung für die angebotene Ware zu erhalten, ließen sich Verbraucher oft aus der sicheren App-Umgebung herauslocken.

„Anschließend erhält der Verkäufer eine scheinbar offizielle Schritt-für-Schritt-Anleitung, um den Kaufbetrag zu bestätigen. Er soll dazu einen QR-Code scannen, der auf eine täuschend echt aussehende Zahlungsseite führt. Das Ablesen des elektronischen QR-Codes soll eine angeblich sichere Bezahlmethode darstellen.“ Ziel sei es, den Verkäufer dazu zu bringen, sensible Daten wie Online-Banking-Zugangsdaten oder Kreditkartennummern preiszugeben.

Täter geben sich zuweilen als Support-Personal der Handels-Webplattform aus

Häufig würden die Betrüger angeben, dass die Plattform diese Daten fordere, um den Verkauf des Produktes erfolgreich abschließen zu können. „Da viele Nutzer das Verfahren nicht kennen und auf eine schnelle Zahlung hoffen, fällt der Betrug häufig nicht sofort auf.“

• Vor allem neue Anwender, die den genauen Prozess des Handels noch nicht kennen, seien häufig Opfer dieser Betrugsmasche.

In manchen Fällen würden sich die Täter sogar als Support-Personal der Plattform ausgeben, um das Opfer unter Druck zu setzen, Vertrauen zu gewinnen und die Freigabe der Zahlung zu erwirken. „Das Ergebnis: Kriminelle erlangen wichtige Zugangsdaten und können eigenmächtig Abbuchungen vornehmen.“

Das EVZ gibt Verbrauchern Hinweise zur Prävention und zum Verhalten im Fall der Fälle

So lässt sich laut EVZ ein Betrug vermeiden:

• Nicht von der Plattform weglocken lassen!
  Der gesamte Verkaufsprozess mit dem interessierten Käufer sollte ausschließlich innerhalb der betreffenden offiziellen Plattform stattfinden. 
• Die Herkunft des QR-Codes prüfen!
  Es gilt sicherzustellen, dass er von einer vertrauenswürdigen Quelle stammt.
• Einen QR-Code-Scanner mit integrierter Sicherheitsfunktion nutzen!
  Dieser kann verdächtige URLs erkennen und davor warnen. 
• Keine persönlichen Daten weitergeben!
  Telefonnummern oder E-Mail-Adressen sollten nicht herausgegeben werden. 
• Vorsicht, wenn eine externe Webseite geöffnet werden soll!
  Auf Rechtschreibfehler und das generelle Erscheinungsbild achten – wirkt sie etwas unseriös, besser nichts anklicken. 
• Keinesfalls Bankdaten preisgeben!
  Geschweige denn Online-Banking-Logins.

EVZ-Tipps, was zu tun ist, wenn das Geld schon weg ist:

• Die Verkaufsplattform kontaktieren:
  Verdächtige Profile melden! 
• Umgehend die eigene Bank kontaktieren:
  Versuchen Sie, die gezahlten Beträge über eine Rückbuchung (ein sogenanntes Chargeback) zurückzufordern! 
• Behörden informieren:
  Erstatten Sie Anzeige bei der Polizei! 
• Juristische Expertise wahrnehmen:
  Holen Sie sich rechtliche Hilfe!

„Zur Sicherung von Online-Konten sollte stets eine Zwei-Faktor-Authentifizierung (2FA) aktiviert werden. Zudem gilt: Der Empfang von Zahlungen erfordert in aller Regel keine Anmeldung oder Bestätigung per Login. Wer dazu aufgefordert wird, sollte misstrauisch werden, hier handelt es sich höchstwahrscheinlich um einen Betrugsversuch“, kommentiert Alexander Wahl, Jurist beim EVZ Deutschland.

Weitere Informationen zum Thema:

Europäische Verbraucherzentrum Deutschland
Rat und Hilfe für Verbraucher – kostenlos – seit über 20 Jahren / Das Europäische Verbraucherzentrum Deutschland ist die erste Anlaufstelle für alle deutschen Verbraucher bei grenzüberschreitenden Fragen. / Wir helfen Ihnen kostenlos, wenn Sie Probleme mit einem Unternehmen im EU-Ausland haben und alleine nicht weiterkommen.

Europäische Verbraucherzentrum Deutschland
Alexander Wahl

Europäische Verbraucherzentrum Deutschland
Vorsicht Falle

datensicherheit.de, 05.09.2025
PayPal-Missbrauch für Betrugsmaschen auf Web-Verkaufsplattformen / Betrüger schicken z.B. – als privater Käufer getarnt – per Chat einen Screenshot mit einem QR-Code, um angeblich den Zahlungseingang über „PayPal“ zu bestätigen

datensicherheit.de, 30.12.2024
QR-Codes als Sicherheitsfalle: Chester Wisniewski rät, davon die Finger zu lassen / QR-Codes erfreuen sich offensichtlich wachsender Beliebtheit in Verkauf, Marketing und bei Bezahlsystemen

datensicherheit.de, 24.10,2023
Quishing: Zunahme von QR-Code-Phishing / Sicherheitsforscher von Check Point warnen vor neuer Art von Phishing-Angriffen

[datensicherheit.de, 08.11.2024] In einer aktuellen Stellungnahme geht Sophos auf die Problematik des Phishings mit QR-Codes („ Quishing“) ein: „In Anlehnung an Albert Einstein ließe sich wohl sagen, dass der kriminelle Einfallsreichtum der Menschen unendlich ist. Der neueste Trend ,Quishing’ beweist jedenfalls einmal wieder, dass die Cyber-Kriminellen keine Möglichkeit auslassen.“ Experten von „Sophos X-Ops“ haben sich demnach den neuesten Cyber-Hype der Infiltration über QR-Codes genauer angesehen.

Cyber-Kriminelle kombinieren Phishing-Methoden mit eigentlich ganz harmlosen QR-Codes

Wenn Cyber-Kriminelle ihre Phishing-Methoden mit eigentlich ganz harmlosen QR-Codes kombinieren, sei von „Quishing“ die Rede. Mittlerweile sei diese neue Taktik so populär geworden, dass es schon ganze Kampagnen dazu gebe. Die Analysten von „Sophos X-Ops“ hätten gerade einen Coup aufgedeckt, bei dem ein Sophos-Mitarbeiter ein PDF-Dokument mit einem QR-Code als E-Mail-Anhang erhalten habe.

„Dieser QR-Code war ein Phishing-Köder, um Zugang zu den Anmeldeinformationen des Nutzers inklusive des MFA-Tokens (Multi-Faktor-Authentifizierung) zu ergaunern.“ Die Sophos-Experten seien jedoch in der Lage gewesen, die Angreifer daran zu hindern, Zugang zu jeglichen internen Anwendungen zu erhalten – doch andere Unternehmen hätten vielleicht weniger Glück, den Angriff zu erkennen und abzuwehren.

„Seit Juni 2024 haben die Spezialisten von Sophos eine wachsende Anzahl dieser ,Quishing’-E-Mails registriert, mit stetig ausgefeilteren Graphiken und gefälschtem Docusign-Branding. Es erscheint, dass die Angreifer Vorteile von ,Quishing as a Service’ nutzen und sich eine bekannte Phishing-as-a-service-Plattform zu eigen machen.“

Schnelle Eingreifen kann Unterschied zwischen bloßem Phishing-Versuch und erfolgreichem Cyber-Angriff ausmachen

Andrew Brandt, „Principal Threat Researcher“ bei Sophos, ordnet die Situation wie folgt ein: „Als die QR-Codes während der ,COVID-Pandemie’ populärer wurden, war man zwar besorgt, das Risiko für die meisten Menschen blieb jedoch eher gering. Jetzt sehen wir, wie Angreifer die QR-Codes für gezielte Phishing-Attacken sehr effektiv nutzen.“

QR-Codes seien ungemein flexibel und mit „Quishing“-Bausätzen könnten die Kriminellen ganze Serien gezielter „Quishing“-Massen-E-Mails entwickeln. Brandt warnt: „Und wenn es den Angreifern gelingt, sowohl das Login als auch die Multifaktor-Authentifikation eines Mitarbeiters zu stehlen, haben sie sich in vielen Fällen Zugang zu hoch privilegierten Bereichen verschafft.“

Selbst unter besten Bedingungen und mit gut geschulten Mitarbeitern sei Phishing beziehungsweise „Quishing“ eine zunehmend gefährliche Bedrohung. Mit einem mehrschichtigen Schutz sei es heute allerdings möglich, einen erfolgreichen Phishing-Angriff zu entschärfen. Genauso wichtig sei aber auch eine Unternehmenskultur, „in der die Mitarbeiter ermutigt werden, verdächtige Aktivitäten umgehend zu melden“. Das schnelle Eingreifen könne den Unterschied zwischen einem bloßen Phishing-Versuch und einem erfolgreichen Angriff ausmachen.

Weitere Informationen zum Thema:

SOPHOS NEWS, Amit Panjawani & Andrew Brandt, 16.10.2024
From QR to compromise: The growing “quishing” threat / Attackers leverage QR codes in PDF email attachments to spearphish corporate credentials from mobile devices

datensicherheit.de, 26.03.2024
Quishing: QR-Code-Phishing-Angriffe noch immer eine unterschätzte Gefahr / Schutz gegen QR-Code-Phishing durch phishing-resistente MFA für die Konten

datensicherheit.de, 31.01.2024
Quishing-Update: QR-Code-Routing-Angriffe nehmen zu / Sicherheitsforscher von Check Point haben eine neue QRC-Angriffsart entdeckt

datensicherheit.de, 24.10,2023
Quishing: Zunahme von QR-Code-Phishing / Sicherheitsforscher von Check Point warnen vor neuer Art von Phishing-Angriffen

[datensicherheit.de, 26.03.2024] „Wenn Sie bei Phishing sofort an E-Mails denken, sind Sie nicht allein. Allerdings sind diese nur eine von vielen Möglichkeiten, wie Phishing-Angriffe ablaufen können“, so Alexander Koch, „VP Sales EMEA“ bei Yubico, in seiner aktuellen Stellungnahme zum Thema „Quishing“. Aufgrund der relativ geringen Kosten und der hohen Erfolgsquote nutzten Cyber-Kriminelle diese Betrugsform sehr häufig. Während die meisten Phishing-Angriffe immer noch per E-Mail erfolgten, gebe es seit einiger Zeit bereits auch Betrugsversuche per Textnachricht oder sogar per Telefonanruf. „Aktuell ist jedoch eine neue Art von Phishing-Angriffen zu beobachten, und sie kommt aus einer unerwarteten Quelle: QR-Codes“, warnt Koch.

QR-Code-Phishing nutzt physische oder digitale QR-Codes, um Benutzer auf gefälschte Websites zu locken

QR-Code-Phishing, auch „Quishing“ genannt, nutze physische oder digitale QR-Codes, um Benutzer auf gefälschte Websites zu locken, die darauf abzielten, sensible Informationen zu stehlen oder ein Gerät mit Malware zu infizieren.

Koch erläutert: „Quishing nutzt eine weit verbreitete Technologie, was ein gewisses Grundvertrauen bei den Opfern mit sich bringt.“

Wie bei anderen Arten von Phishing werde genau dieses Vertrauen ausgenutzt, indem die Angreifer entweder neue, physische QR-Codes platzierten, oder gefälschte QR-Codes als Teil eines E-Mail- oder Text-Phishing-Angriffs versendeten.

Quishing-Angriff ähnelt prinzipiell bekannten Phishing-Attacken – nur eben unter Verwendung einer neuen Technologie

Koch beschreibt ein mögliches Gefahren-Szenario: „An der Tür einer Bank ist ein QR-Code angebracht. Wenn der QR-Code gescannt wird, wird der Benutzer aufgefordert, sich bei seinem Bankkonto anzumelden, um beispielsweise an einem Gewinnspiel teilzunehmen. Die legitim wirkende Website, auf die der Nutzer verwiesen wird, ist jedoch in Wirklichkeit betrügerisch, und alle eingegebenen persönlichen Daten und Kontoinformationen sind nun kompromittiert.“

Auch gerade digital sei Quishing schwer zu erkennen und gefährlich. Beispielweise erhalte ein Nutzer eine E-Mail von seinem Lieblingseinzelhändler mit einem QR-Code, um sich vermeintlich für ein neues Treueprogramm anzumelden. „Wenn der Benutzer den Code auf seinem Computerbildschirm scannt, wird er aufgefordert, seine persönlichen Daten einzugeben, einschließlich des Namens, Adresse, Benutzername und Passwort.“ Diese E-Mail enthalte aber ebenfalls einen gefälschten QR-Code und sei ein Phishing-Angriff, der allen anderen Formen von Phishing-Angriffen ähnele, nur eben unter Verwendung einer neuen Technologie. Diese Daten könnten nun verwendet werden, um auf die Website des Einzelhändlers und alle dort gespeicherten Informationen, einschließlich der Kreditkartendaten, zuzugreifen.

„Wenn dieses Passwort auf anderen Websites wiederverwendet wird, was 39 Prozent der Internetnutzer leider immer noch tun, könnte es in weiteren Fällen für Betrug verwendet werden“, betont Koch. Darüber hinaus könnten die persönlichen Daten auf dem Schwarzmarkt verkauft werden, um von Dritten für künftige kriminelle Handlungen genutzt zu werden.

Aktivierung phishing-resistenter MFA zum Schutz gegen QR-Code-Phishing

QR-Codes selbst könnten zwar nicht gekapert werden, aber es sei sehr einfach, einen neuen und betrügerischen QR-Code-Aufkleber über eine legitime Quelle zu legen oder digital über E-Mail an Nutzer heranzutreten. Koch rät: „Es ist daher wichtig zu prüfen, ob die Quelle seriös ist. QR-Codes aus einer unbekannten Quelle sollte nicht vertraut werden. QR-Codes, die per E-Mail zugestellt werden, sollten immer mit äußerster Vorsicht behandelt werden!“

Nutzer sollten, wo immer möglich, Konten mit Multi-Faktor-Authentifizierung (MFA) aktivieren, um den Erfolg von Phishing-Angriffen zu erschweren. Zwar sei jede Form von MFA besser als die Verwendung eines Benutzernamens und eines Passworts, aber nicht jede MFA sei gleich. „Effektiven Schutz bieten phishing-resistente MFA-Optionen wie gerätegebundene Passkeys – also Hardware-Sicherheitsschlüssel“, so Koch.

Abschließend empfiehlt er: „Für Websites, die noch keine phishing-sicheren Methoden unterstützen, sollten Nutzer einen seriösen Passwort-Manager wie ,1Password’ verwenden, um starke Anmeldedaten für jede Website zu erstellen und die Anmeldung auf verschiedenen Geräten zu erleichtern.“

Weitere Informationen zum Thema:

datensicherheit.de, 31.01.2024
Quishing-Update: QR-Code-Routing-Angriffe nehmen zu / Sicherheitsforscher von Check Point haben eine neue QRC-Angriffsart entdeckt

datensicherheit.de, 24.10,2023
Quishing: Zunahme von QR-Code-Phishing / Sicherheitsforscher von Check Point warnen vor neuer Art von Phishing-Angriffen

datensicherheit.de, 06.09.2022
Gefährlicher Trend: HTML-Phishing bei Cyber-Kriminellen zunehmend beliebter / HTML-Anhänge bei Phishing-Attacken häufig so gestaltet, dass sie wie Seiten offizieller Unternehmenswebsites aussehen

[datensicherheit.de, 24.03.2021] Ob auf Plakatwänden, Visitenkarten, Verpackungen oder in Magazinen – QR-Codes sind in allen möglichen Lebensbereichen zu finden. Die kleinen Quadrate mit schwarzen und weißen Punkten fungieren als Brücke von der Offline- in die Online-Welt. QR steht dabei für Quick Response, also schnelle Antwort. Denn die Codes bringen die Benutzer in nur wenigen Sekunden in das Internet. Sie müssen dafür nur einen Barcode-Scanner auf ihrem Smartphone installieren, die App aufrufen und ihr Gerät über das zweidimensionale Muster halten. Bereits seit mehr als 25 Jahren auf dem Markt, erleben QR-Codes seit Corona einen neuen Aufschwung. Der QR-Code entpuppt sich als optimales, berührungsloses Medium – und wird daher zum Beispiel von Gastronomen für digitale Speisekarten und zur Kontaktrückverfolgung genutzt. Aber auch in der Corona-Warn-App können Testergebnisse beispielsweise per QR-Code an die App gemeldet werden.

Bewusstsein für Sicherheitsrisiken von QR-Codes fehlt

„QR-Codes sind eine tolle Möglichkeit, um den Funktionsumfang von Smartphones zu erweitern. Gerade in Zeiten einer Pandemie eignen sie sich hervorragend für den kontaktlosen Austausch von Informationen “, so Stefan Wehrhahn, Country Manager DACH & Benelux bei BullGuard. „Oft fehlt Nutzern jedoch ein Bewusstsein für mögliche Risiken. Daraus ergibt sich ein ideales Einfallstor für Cyberkriminelle. Sie missbrauchen QR-Codes für sogenannte Social-Engineering-Attacken, nutzen also menschliche Schwächen, um unrechtmäßig an persönliche Informationen zu gelangen. Gerade jetzt, bevor die Gastronomie wieder ihre Türen öffnet, müssen sich QR-Code-Nutzer daher mit den potenziellen Gefahren für ihre mobile Sicherheit auseinandersetzen.“

Cyberkriminelle nutzen die Situation aus, dass Verbraucher QR-Codes grundsätzlich Vertrauen schenken. Sie gehen davon aus, dass die vom Code gewählte Zieladresse legitim ist. Ob dies tatsächlich so ist, kann der Einzelne jedoch meist nicht so einfach nachvollziehen. Denn die Webseiten und Inhalte, zu denen die Codes letztlich führen, sind zunächst in schwarz-weißen Punkten versteckt. Cyberkriminelle können QR-Codes daher nutzen, um über bösartige Links auf mit Schadstoffsoftware versehene Webseiten oder Phishing-Webseiten umzuleiten. Auf diese Weise könnten sich Angreifer zum Beispiel Zugang zu Kontakt- und Kreditkarteninformationen verschaffen, einen Jailbreak vornehmen sowie Keylogger oder GPS-Tracker installieren. Werden für den QR-Code zusätzlich Tools wie „bit.ly“ verwendet, um die URL zu kürzen und die eigentliche Webadresse zu verschleiern, haben Verbraucher erst recht keine Chance, die Links vor Weiterleitung auf Vertrauenswürdigkeit zu prüfen. „Cyberkriminelle können einen QR-Code nicht einfach hacken. Sie können ihn jedoch leicht ersetzen, indem sie zum Beispiel QR-Codes auf Plakaten oder Menükarten einfach überkleben oder Phishing-Mails mit schädlichen Codes versenden“, erklärt Wehrhahn und gibt QR-Code-Nutzern im Folgenden fünf praktische Ratschläge, wie sie bösartige Codes erkennen und vermeiden können.

Fünf Tipps von BullGuard für die sichere Nutzung von QR-Codes

• Nutzen Sie nur QR-Code-Scanner-Apps, die eine Vorschau der URLs bieten und nicht sofort, ohne zu fragen, die hinterlegte Webseite öffnen. Erscheint Ihnen die URL verdächtig oder nicht zur Werbeanzeige passend, lassen Sie sich nicht zur Webseite weiterleiten. Vermeiden Sie zudem verkürzte Links. Und seien Sie besonders vorsichtig bei QR-Codes, die mit Zahlungs- und Transaktionsdiensten verknüpft sind. Diese werden von Cyberkriminellen bei der Auswahl von Angriffsmethoden und -orten oft bevorzugt.
• Scannen Sie keine QR-Codes in Form von Aufklebern, die wahllos an Wänden angebracht sind. Denn: Diese können von jedem generiert und an öffentlichen Orten angebracht worden sein, auch von Cyberkriminellen. Achten Sie generell darauf, keinen QR-Code zu scannen, der über einen anderen QR-Code geklebt wurde.
• Überprüfen Sie direkt nach dem Öffnen eines Links die Webseite. Prüfen Sie, ob der QR-Code Sie zu der Adresse geführt hat, zu der Sie gelangen wollten. Seien Sie besonders vorsichtig, wenn Sie auf einer Seite dazu aufgefordert werden, eine App zu installieren oder vertrauliche Informationen wie Passwörter zu teilen.
• Seien Sie besonders vorsichtig, wenn Ihr Smartphone mit dem Betriebssystem Android arbeitet. Android ist eine offene Plattform, was bedeutet, dass Schwachstellen von Kriminellen leicht ausgenutzt werden können. Aus diesem Grund zielen die meisten bösartigen Apps, die über QR-Codes übertragen werden, auf Android-basierte Smartphones ab. Stellen Sie sicher, dass Ihr Android-Browser immer auf dem neuesten Stand ist und scannen Sie nur QR-Codes aus vertrauenswürdigen Quellen.
• Installieren und nutzen Sie eine mobile Sicherheits-App. Eine effiziente mobile Security-Suite wie die BullGuard Mobile Security kann Sie vor allen Arten von Malware schützen, die über QR-Codes übertragen werden könnten. Die BullGuard Mobile Security verfügt über ein leistungsstarkes, Cloud-basiertes Virenschutzprogramm und einen Mobile Security Manager, mit dem Sie Ihr Gerät auf mögliche Infektionen scannen und zum Beispiel Einstellungen für eine Diebstahlsicherung vornehmen können.

Weitere Informationen zum Thema:

datensicherheit.de, 25.06.2016
Windows 10: Neue Blue Screens mit QR-Code

[datensicherheit.de, 26.11.2020] Sicherheitsforscher von Check Point sind nach eigenen Angaben „einem neuen Trend von Cyber-Kriminellen auf die Spur gekommen“ – versuchte QR-Codes infizieren demnach Smartphones. Hacker machten sich die vermehrte Nutzung dieser Codes wegen der „Corona-Krise“ und die verbundene Panik vieler Menschen vor einer Übertragung durch Berührung zunutze. „Hinzu kommt, dass ein Code erst als schädlich erkannt werden kann, wenn der Nutzer ihn bereits eingelesen hat.“

Foto: Check Point Software Technologies

Christine Schönig rät dringend, eine Sicherheitslösung für Smartphones zu verwenden

Hacker versuchen, über infizierte QR-Codes Zugangsdaten zu stehlen oder betrügerische Anwendungen und Malware zu laden

Hacker versuchten, über infizierte QR-Codes vermehrt Zugangsdaten zu stehlen oder betrügerische Anwendungen und Malware auf die Mobiltelefone der Benutzer zu laden. Die Check Point® Software Technologies Ltd. warnt daher vor gefälschten QR-Codes, deren Nutzung während der „Covid-19-Krise“ explodiert sei.
Hysterie bezüglich der Übertragung von „Covid-19“ durch Berührung habe dazu geführt, dass Restaurants nun QR-Codes eingeführt hätten, damit Kunden mit ihrem Smartphone in Speisekarten blättern oder kontaktlose Zahlungen vornehmen könnten. Außerdem kämen QR-Codes am Eingang von Veranstaltung zur Kontaktverfolgung zum Einsatz.

Hacker nutzen Popularität von QR-Codes aus und ersetzten echte durch verseuchte

Hacker versuchen nun, die Popularität von QR-Codes auszunutzen und ersetzten echte durch verseuchte. Diese öffneten entweder eine infizierte Internet-Adresse oder versuchten, Malware auf das Smartphone herunterzuladen, wenn die QR-Codes eingelesen werden. Anfang 2020 habe die belgische Bundespolizei eine Warnung über einen Online-Betrug mit QR-Codes herausgegeben:
„Der gefälschte Code griff hier auf die Anmeldedaten der Nutzer zu, die für andere Anwendungen auf dem Telefon verwendet werden, wie Bank- und Shopping-Apps.“ Ziel sei es außerdem gewesen, heimlich Geld-Transaktionen auszulösen. Die ING Bank in den Niederlanden habe ebenso vor falschen QR-Codes gewarnt, deren Funktion es sei, eine zweite Person – den Hacker – über die Telefon-App der ING Bank mit den ING-Konten der Kunden zu verbinden.

Rund 38% der Befragten haben QR-Code in einer Gaststätte eingelesen

Eine kürzlich von MobileIron durchgeführte Umfrage habe ergeben, dass von März bis September 2020 rund 38 Prozent der Befragten einen QR-Code in einem Restaurant, einer Bar oder einem Café eingelesen hätten und 37 Prozent im Einzelhandel. „Mehr als die Hälfte (51 Prozent) der Befragten berichteten, dass sie keine Sicherheits-Software auf ihren Telefonen installiert haben oder nicht wissen, ob eine vorhanden ist.“
In vielen Fällen enthielten diese Smartphones sowohl persönliche als auch geschäftliche Anwendungen und Daten, wodurch Unternehmen einem erhöhten Risiko ausgesetzt seien. Der „Cyber Security Report 2020“ von Check Point zeige, dass 27 Prozent der Organisationen weltweit von Cyber-Angriffen über Mobiltelefone betroffen gewesen seien und 34 Prozent direkt von mobiler Malware.

QR-Code nichts Anderes als schnelle und bequeme Möglichkeit, auf Online-Ressource zuzugreifen

„Wir alle dürfen nicht vergessen, dass ein QR-Code nichts Anderes als eine schnelle und bequeme Möglichkeit ist, auf eine Online-Ressource zuzugreifen, und wir können erst dann sicher sein, dass diese Ressource echt ist, wenn wir den Code eingelesen haben. Das aber bedeutet, dass ein Angriff gegebenenfalls schon begonnen hat, während wir noch die Echtheit des QR-Codes prüfen“, erläutert Christine Schönig, „Regional Director Security Engineering CER“, „Office of the CTO“ bei der Check Point Software Technologies GmbH.
QR-Codes seien nicht von Natur aus sicher oder vertrauenswürdig – das sollte jeder bedenken – und Hacker wüssten, dass die Mehrheit der Menschen nur wenig oder gar keine Sicherheits-Software auf ihren Handys installiere. Schönig: „Daher raten wir dringend, eine Sicherheitslösung für Smartphones zu verwenden, um die Geräte und Daten vor Phishing, betrügerischen Anwendungen und Malware zu schützen – und eben vor gefährlichen QR-Codes.“

Weitere Informationen zu Thema:

datensicherheit.de, 25.11.2020
Android: Völlig neuartige Malware bedroht Anwender

mobileIron, 15.09.2020
MobileIron Research Reveals QR Codes Pose Significant Security Risks to Enterprises and End Users

The Brussels Times, 17.01.2020
Police issue warning about QR code fraud

Check Point® SOFTWARE TECHNOLOGIES LTD., 15.01.2020
No Immunity from Cyber Attacks, Shows Check Point Research‘s Cyber Security Report

[datensicherheit.de, 25.06.2016] Wohl jeder „Windows“-Nutzer kennt die blauen Bildschirme, wenn das Betriebssystem einen Fehler anzeigt. Diese sogenannten „Blue Screens of Death“ (BSoD) sollen im kommenden „Windows 10“-Sommer-Update überarbeitet werden. Laut einer Meldung von G DATA werden die Nutzer mit einem QR-Code die Möglichkeit bekommen, direkt nach dem Grund der Fehlermeldung auf den Microsoft-Hilfeseiten suchen zu können. Neben vielen Vorteilen könnten Cyber-Kriminelle diese neuen Techniken allerdings auch missbrauchen, warnt G DATA.

Potenzielle Gefahr: BsoD-Kopie mit gefälschtem QR-Code

Natürlich gehe vom originalen BSoD keine akute Gefahr für den PC aus, aber die folgende Situation ist laut G DATA durchaus denkbar: Cyber-Kriminelle kopieren den BSoD, tauschen den angezeigten QR-Code gegen ihren eigenen aus und zeigen den manipulierten Screen dann arglosen Nutzern an – auf einer Webseite oder gar bei einem simulierten Computer-Absturz.

Angriffsvektor mit neuer Brisanz

Besuchen die Betroffenen dann die hinterlegte Webseite mit ihrem Mobilgerät durch Scannen des Codes, könnten sie auf mit Malware manipulierte Webseiten treffen, warnt G DATA.
Spätestens seitdem „Android“-Geräte nun auch Opfer von Drive-by-Infektionen werden können, gewinne dieser Angriffsvektor an neuer Brisanz. Für ein Unternehmen z.B., dessen Mobilgeräte als aktive Arbeitsressource in das Firmennetzwerk integriert sind, ergeben sich demnach „vielfältige Bedrohungsszenarien“.

Auch Phishing-Attacke möglich

Es könnte aber auch eine Phishing-Attacke auf die Nutzer des manipulierten QR-Codes warten.
So wäre es möglich, dass Angreifer z.B. eine echt aussehende Microsoft-Service-Seite nachahmen und darüber nach Kundendaten, Zahlungsdaten, Log-Ins zu Microsoft-Diensten oder vielleicht auch nach Seriennummern für „Windows“-Lizenzen fragten.

Weitere Informationen zum Thema:

G DATA, 22.06.2016
Neuer „Blue Screen of Death“: Echte Hilfe oder Sicherheits-Risiko?

[datensicherheit.de, 29.10.2014] Die Forderung nach einer lückenlosen Überwachung von Kühlketten stellt für die Chemie-, die Pharma- und die Lebensmittelindustrie eine große Herausforderung dar, denn oftmals treten während eines Transports vorübergehende Temperaturspitzen auf, die jedoch nicht nachverfolgt werden können. Zudem erweisen sich viele der eingesetzten Systeme zur Temperaturüberwachung als zu kostenintensiv.

Neue Monitoring-Lösung eines BAM-Forscherteams

Eine neue Monitoring-Lösung wurde nun von einem Forscherteam der Bundesanstalt für Materialforschung und -prüfung (BAM) in Form von Etiketten aus Kunststoff mit einem Temperaturgedächtnis entwickelt. Man müsse sich das so vorstellen, dass die Etiketten beim anschließenden Erwärmen bei einer von ihnen vorab gewählten Temperatur eine Formänderung vollzögen, erklärt Projektleiter Dr. Thorsten Pretsch.
Parallel dazu könnten darin enthaltene, zweidimensionale Codes so weit entzerrt werden, dass sie maschinell lesbar werden und damit ein Überschreiten eines Temperaturschwellwertes anzeigen.

Ausleseversuche mit einem handelsüblichen Smartphone

Inzwischen hätten die Wissenschaftler nach BAM-Angaben nachweisen können, dass mit Quick-Response-Codes ausgerüstete Etiketten bei 0 °C, 10 °C und 20 °C maschinell lesbar gemacht werden könnten. Setzt man sie zur Kennzeichnung temperaturkritischer Waren ein, könne eine Überwachung allein durch Ausleseversuche mit einem handelsüblichen Smartphone erfolgen. Das in den Experimenten erprobte Temperaturgedächtnis-Polymer sei ein thermoplastisches Polyurethan und stamme von der Bayer MaterialScience AG.

Ursprünglich Etiketten zur fälschungssicheren Warenkennzeichnung

Ursprünglich seien die Etiketten zur fälschungssicheren Kennzeichnung von Waren entwickelt worden. Das Temperaturgedächtnis eröffne völlig neue Möglichkeiten, die zuvor wegen des hohen Syntheseaufwandes nicht hätten realisiert werden konnten, so Dr. Pretsch. Gefördert werde das Projekt durch die Initiative „Validierung des Innovationspotentials wissenschaftlicher Forschung – VIP“ des Bundesministeriums für Bildung und Forschung (BMBF).

Weitere Informationen zum Thema:

APS Publications
Programming of Temperature-Memory Onsets in a Semicrystalline Polyurethane Elastomer / Nikolaus Fritzsche Thorsten Pretsch

[datensicherheit.de, 04.08.2014] Wenn die Spionage-Affäre und die zuletzt bekannt gewordenen Datendiebstahl-Skandale etwas bewiesen haben, dann, dass ein einfaches Passwort für den Schutz von E-Mail-Konten allein nicht mehr ausreicht. Eine Alternative dazu wäre, biometrische Verfahren einzuführen, jedoch sind diese wenig beliebt und immer noch teuer. Gerade kleine und mittelständische Unternehmen (KMU), die sich teure und umständliche Sicherheitsmaßnahmen nicht leisten können oder wollen, müssen nicht nur auf sichere, sondern auch flexible und einfach zu handhabende Maßnahmen setzen.

Nur was sich im Alltag als schnell und leicht umsetzbar erweist, hat eine Chance, dauerhaft von Mitarbeitern auch genutzt zu werden. Einige Hersteller wie SecurEnvoy haben sich hier bereits vor zehn Jahren ihre Gedanken gemacht und ein SMS gestütztes Verfahren zur Authentifizierung entwickelt. Inzwischen ist die Entwicklung schon einen großen Schritt weiter gekommen. Übertragungsverfahren können den zweiten Faktor (Wissen) auch auf mobile Geräte (Haben) des Mitarbeiters übertragen, der sich an seinem E-Mail-Account von außerhalb des Unternehmens anmelden möchte. Mit dieser Variante, die auch Bring your own Token (BYOT) genannt wird, erhalten Anwender ihren individuell generierten Passcode direkt auf ihr Smartphone zugestellt. Sie müssen also keine externe Hardware mit sich führen. Die Flexibilität der Zwei-Faktor Authentifizierung erhöht sich außerdem, wenn neben der SMS noch weitere Übertragungsmedien vorgehalten werden, zum Beispiel über eine Soft-Token App, E-Mail oder Voice Call-Back.

Erweiterte Möglichkeiten durch neue Technologien wie QR-Codes

Die SMS wird langsam aber sicher von neuen Technologien wie QR-Codes oder NFC abgelöst, hier haben sich die Entwickler ebenfalls ihre Gedanken gemacht. Mit One-Swipe, eine Offline-Technologie, die ähnlich dem Photo-TAN Verfahren von Bank-Transaktionen funktioniert, lässt sich das Einmalpasswort auch als QR-Code generieren.

© SecurEnvoy

Log-in-Verfahren mit QR-Codes

Dafür muss der Anwender seine persönliche PIN-Nummer auf sein Smartphone in der passenden Soft-Token App eingeben, um One-Swipe starten zu können. Der darüber generierte QR-Code kann dann mit der Kamera im Smartphone abfotografiert werden.

©SecurEnvoy

Phil Underwood, Global Head of Pre-Sales, SecurEnvoy

Daraus entziffert dann der QR-Code Leser die Zugangsdaten für den E-Mail-Account und der Anwender kann sich erfolgreich auch von unterwegs anmelden und gefahrlos seine E-Mails lesen und beantworten. Phil Underwood, Global Head of Pre-Sales bei SecurEnvoy erklärt: „Mit One-Swipe kann auch die Eingabe von Username und Passwort entfallen, denn diese Informationen können gleich im QR-Code gespeichert werden. Es lässt sich aber auch einstellen, dass beispielsweise nur die Eingabe des Benutzernamens entfällt, das Passwort aber eingegeben werden muss. Optional kann One-Swipe alternativ einen PIN-Code abfragen, der individuell pro User vergeben werden kann.“

Erhöhung der Sicherheit beim Log-in

Eine Zwei-Faktor Authentifizierung erhöht die Sicherheit des Log-in-Vorgangs bei E-Mail & Co. allerdings sollte sie sich an der Lebenswirklichkeit gerade von kleinen und mittleren Unternehmen orientieren. Je aufwendiger die Technologie ist, die dahinter steckt, desto weniger groß wird die Chance sein, dass sie auch genutzt wird. Der Weg auf bereits etablierte Geräte und Übertragungstechnologien zu setzen, ist ein gangbarer. Abzuwarten bleibt, ob sich neue Technologien wie QR-Codes und NFC sich flächendeckend so durchsetzen, dass die Mehrheit der Anwender diese auch benutzen will.

Weitere Informationen zum Thema:

datensicherheit.de, 06.08.2014 (nachträglich hinzugefügt! Die Redaktion!)
Hacker: Diebstahl von 1,2 Milliarden Passwörtern und Nutzerdaten