Sicherheitsforscher von Check Point beobachten einen neuen Trend unter Hackern: Sie versuchen mit infizierten QR-Codes Zugangsdaten zu stehlen oder betrügerische Anwendungen und Malware auf die Mobiltelefone der Benutzer zu laden. Diese öffnen entweder eine infizierte Internet-Adresse oder versuchen, Malware auf das Smartphone herunterzuladen, wenn die QR-Codes eingelesen werden.
Eine kürzlich von MobileIron durchgeführte Umfrage ergab, dass von März bis September 2020 rund 38 Prozent der Befragten einen QR-Code in einem Restaurant, einer Bar oder einem Café eingelesen haben und 37 Prozent im Einzelhandel. Mehr als die Hälfte (51 Prozent) der Befragten berichteten, dass sie keine Sicherheits-Software auf ihren Telefonen installiert haben oder nicht wissen, ob eine vorhanden ist.
Die belgische Bundespolizei gab Anfang 2020 eine Warnung über einen Online-Betrug mit QR-Codes heraus. Der gefälschte Code griff auf die Anmeldedaten der Nutzer zu, die für andere Anwendungen auf dem Telefon verwendet werden, wie Bank- und Shopping-Apps. Ziel war es außerdem, heimlich Geld-Transaktionen auszulösen.
Die ING Bank in den Niederlanden warnte ebenso vor falschen QR-Codes, deren Funktion es ist, eine zweite Person – den Hacker – über die Telefon-App der ING Bank mit den ING-Konten der Kunden zu verbinden.
In vielen Fällen enthalten diese Smartphones sowohl persönliche als auch geschäftliche Anwendungen und Daten, wodurch Unternehmen einem erhöhten Risiko ausgesetzt sind. Der Cyber Security Report 2020 von Check Point zeigt, dass 27 Prozent der Organisationen weltweit von Cyber-Angriffen über Mobiltelefone betroffen waren und 34 Prozent direkt von mobiler Malware.
„Wir alle dürfen nicht vergessen, dass ein QR-Code nichts anderes als eine schnelle und bequeme Möglichkeit ist, auf eine Online-Ressource zuzugreifen, und wir können erst dann sicher sein, dass diese Ressource echt ist, wenn wir den Code eingelesen haben. Das aber bedeutet, dass ein Angriff gegebenenfalls schon begonnen hat, während wir noch die Echtheit des QR-Codes prüfen“, erklärt Christine Schönig, Regional Director Security Engineering CER, Check Point.
„QR-Codes sind nicht von Natur aus sicher oder vertrauenswürdig – das sollte jeder bedenken – und Hacker wissen, dass die Mehrheit der Menschen nur wenig oder gar keine Sicherheits-Software auf ihren Handys installiert. Daher raten wir dringend, eine Sicherheitslösung für Smartphones zu verwenden, um die Geräte und Daten vor Phishing, betrügerischen Anwendungen und Malware zu schützen – und eben vor gefährlichen QR-Codes.“