QR-Codes sind aus dem heutigen Lebensalltag nicht mehr wegzudenken. Sie ersetzen Speisekarten in Restaurants, Gutscheine oder Anzeigen in U-Bahn-Stationen. In der Covid-Pandemie spielen sie eine wichtige Rolle bei der Rückverfolgung von Kontaktpersonen oder der Überprüfung des Impfstatus.
Prinzipiell sind QR-Codes leicht zugänglich und einfach zu produzieren. Zugleich sind sie aber auch eine perfekte Möglichkeit für Cyberkriminelle, persönliche Daten abzugreifen. Das FBI warnte Anfang 2022 deshalb auch vor der zunehmenden Gefahr des QR-Code-Betrugs.
Solche QR-Code-Angriffe finden inzwischen mit alarmierender Häufigkeit statt. In Deutschland etwa haben Cyberangreifer Online-Banking-Kunden mit Phishing-Mails, die QR-Codes enthielten, auf gefälschte Webseiten geführt, um die Zugangsdaten zu entwenden.
CyberArk zeigt sieben Möglichkeiten, wie sich Nutzer vor dem QR-Code-Phishing besser schützen können:
- Nicht scannen
Jeder seriöse QR-Code sollte eine zugehörige URL besitzen, die den Nutzern ein direktes Aufrufen der Webseite ermöglicht. Fehlt die URL, ist Vorsicht angebracht.
- Langsam starten
Bevor ein Nutzer einen QR-Code scannt, sollte er sich mehrere Fragen stellen: „Weiß ich, wer den QR-Code dort platziert hat? Kann ich darauf vertrauen, dass er nicht manipuliert wurde? Ist es in dieser Situation überhaupt sinnvoll, einen QR-Code zu verwenden?“
- QR-Code-URLs überprüfen
Nutzer sollten nach dem Scannen des QR-Codes die URL überprüfen, zu der er führt, bevor sie fortfahren. Dabei ist etwa zu kontrollieren, ob der QR-Code mit der richtigen Organisation verbunden ist. Man kann auch eine schnelle Websuche nach der URL durchführen, um die Echtheit des QR-Codes zu ermitteln.
- Auf Anzeichen für physische Manipulationen achten
Vor allem an Orten wie Restaurants, an denen QR-Codes häufig verwendet werden, ist Vorsicht geboten. Zu achten ist beispielsweise darauf, ob ein QR-Code-Sticker mit einem anderen überklebt ist.
- Niemals Apps über QR-Codes downloaden
Webseiten sind für Angreifer leicht zu klonen und zu fälschen. Apps sollten deshalb immer über einen offiziellen App-Store heruntergeladen werden.
- Keine elektronischen Zahlungen über QR-Codes tätigen
Zahlungsvorgänge sollten ausschließlich über native Apps oder über die Anmeldung an einer offiziellen Domain erfolgen.
- Multi-Faktor-Authentifizierung (MFA) nutzen
Eine MFA-Lösung trägt zum Schutz von vertraulichen Accounts bei, etwa bei Bankgeschäften, der E-Mail-Kommunikation oder bei Social-Media-Anwendungen. Eine zusätzliche Authentifizierungsebene verhindert dabei, dass ein Cyberkrimineller bereits mit einer Login-Information und einem Passwort auf Daten zugreifen kann.
„Durch mehr als zwei Jahre pandemiebedingter Internetkriminalität sind viele Verbraucher bei ihren digitalen Aktivitäten vorsichtiger geworden. E-Mails, Anrufe und sogar Textnachrichten werden genau geprüft. QR-Codes hingegen werden nicht wirklich als potenziell gefährlich eingestuft. Sie werden von den meisten Menschen – ohne groß zu überlegen – gescannt“, erklärt Len Noe, Technical Evangelist und White Hat Hacker bei CyberArk.
„Da QR-Codes aber zunehmend zu einer beliebten Phishing-Methode der Angreifer werden, ist bei der Nutzung immer Skepsis angebracht. Wie generell im digitalen Bereich sollten immer die möglichen Sicherheitsrisiken bedacht werden. Unsere sieben Tipps können dabei eine erste Hilfestellung geben.“