Jeder kennt sie, und so gut wie jeder verwendet sie: QR-Codes. Inzwischen sind die schwarz-weißen Quadrate allgegenwärtig und aus kaum einem Bereich mehr wegzudenken, von der Speisekarte bis hin zum Zahlungsportal. Wie so oft hat die wachsende Popularität ihre Schattenseiten: Die stetig steigende Zahl von QR-Code Scams, also betrügerische Aktivitäten auf der Basis von QR-Codes.

An dieser Stelle werden wir uns mit der Komplexität von QR-Code-Phishing befassen, versuchen, die zugrunde liegenden Mechanismen von sogenannten Quishing-Angriffen zu verstehen und Sicherheitsempfehlungen für Firmen und Verbraucher zu geben.

QR-Codes – bequem, aber auch riskant

QR-Codes wurden ursprünglich entwickelt, um Teile innerhalb der Automobilbranche nachzuverfolgen. Nach einigen Anfangsschwierigkeiten durchdringen die Codes inzwischen so gut wie jeden Bereich unseres täglichen Lebens. Die Covid-19-Pandemie hat der Verwendung von QR-Codes einen letzten Schub versetzt und aus dem Dasein als Nischenwerkzeug herauskatapultiert. Sie bieten eine berührungslose, effiziente Methode, um auf Informationen zuzugreifen, Zahlungen zu leisten oder Speisekarten zu studieren. Aber wie bei jeder Art von technologischem Fortschritt gibt es auch hier eine Kehrseite. Betrug und Täuschung auf der Basis von QR-Codes haben sich zu einer ernsthaften Bedrohung entwickelt. Scams machen sich dabei genau den Komfort zunutze, der der diese Codes so attraktiv macht.

QR-Code-Phishing oder »Quishing« ist eine Technik, bei der die Opfer verleitet werden, sensible Informationen preiszugeben oder unwissentlich gefährliche Aktivitäten anzustoßen. Im Gegensatz zum herkömmlichen Phishing, das sich auf betrügerische E-Mails oder Nachrichten stützt, werden beim Quishing QR-Codes als Köder verwendet. Diese Codes wirken legitim und imitieren zumeist solche, wie sie von seriösen Unternehmen verwendet werden, um ein trügerisches Sicherheitsgefühl zu vermitteln. So wurden beispielsweise zwei Fälle im Vereinigten Königreich bekannt, bei denen die Betrüger gefälschte QR-Codes auf Parkplatzschildern platzierten. Ziel war es, die Nutzer auf gefälschte Zahlungswebseiten zu leiten. Die Behörden haben dann aus Angst vor weiteren Betrugsversuchen lieber gleich sämtliche Schilder mit QR-Codes entfernt.

In einem anderen Fall (die BBC berichtete) hatten Kriminelle professionell gestaltete QR-Codes auf Parkuhren angebracht. Ahnungslose Bürger, die mit dem Mobiltelefon ihre Parkgebühren bezahlen wollten, wurden stattdessen auf ein betrügerisches Zahlungsportal geleitet. Auch viele Restaurants verwenden inzwischen QR-Codes für ihre Speisekarten – ein Trend, der als Hygienelösung während der Pandemie seinen Ursprung hatte. Auch diese gängige Praxis hat QR-Code Scams neue Wege eröffnet. In einigen Fällen ersetzten Kriminelle den legitimen Code des Restaurants durch ihren eigenen und leiteten die Kunden zu Phishing-Websites oder anderen manipulierten Inhalten.

Ein weiterer besorgniserregender Trend ist die Verwendung von QR-Codes in Postwurfsendungen, Flugblättern und bei Gewinnspielen. Hier versuchen Cyberkriminelle ihre Opfer mit lukrativen Angeboten oder eben Gewinnspielen zum Scannen eines QR-Codes zu motivieren. Statt des potenziellen Gewinns laden die Betroffenen sich eine Malware auf ihr Gerät oder werden auf Phishing-Seiten umgeleitet. Diese Methode ist besonders tückisch, weil sie physische und digitale Welt miteinander verbindet und Verbraucher an dieser Stelle oft unvorbereitet trifft.

Wie QR-Code-Betrug funktioniert

Will man sich besser schützen, muss man verstehen, wie QR-Code Scams oder Quishing-Angriffe funktionieren. Im Kern nutzen beide die Fähigkeit eines QR-Codes aus, die Ziel-URL zu verschleiern. Wenn Sie einen QR-Code scannen, sehen Sie die zugrunde liegende Webadresse nicht. Das macht den Code zum idealen Vehikel für ein Täuschungsmanöver.

Der Ablauf eines typischen Quishing-Angriffs umfasst die folgenden Schritte:

Betrügerischen QR-Code erstellen: Der oder die Scammer erstellt einen QR-Code, der auf eine bösartig manipulierte Website verweist. Solche Websites lehnen sich in der Gestaltung oft an legitime Sites an, was es den Benutzern erschwert, den Betrug als solchen zu erkennen.

Platzierung in einem vertrauenswürdigen Kontext: Der betrügerische QR-Code wird dann in einem Kontext platziert, der es wahrscheinlich macht, dass er tatsächlich gescannt wird. Dies kann wie in unserem obigen Beispiel eine öffentliche Einrichtung sein (wie eine Parkuhr), eine digitale Speisekarte oder ein Flugblatt, das lukrative Angebote verspricht.

Und so funktioniert der Scam: Nachdem ein Benutzer den QR-Code gescannt hat, wird er auf die betrügerische Website weitergeleitet. Dort wird man beispielsweise aufgefordert, persönliche Daten einzugeben, eine Zahlung zu leisten, oder man lädt sich unwissentlich eine Malware auf sein Gerät.

Was QR-Code Scams so gefährlich macht, ist ihre Raffinesse. Im Gegensatz zu herkömmlichen Phishing-Kampagnen, die man etwa anhand verdächtig wirkender URLs oder E-Mail-Adressen erkennen kann, bieten QR-Codes keine derartigen visuellen Anhaltspunkte. Die mangelnde Transparenz macht es Scammern deutlich leichter.

Auswirkungen auf Unternehmen und Verbraucher

QR-Code Scams oder Quishing-Angriffe beschränken sich aber nicht auf Privatpersonen, sondern sind auch für Unternehmen eine ernsthafte Bedrohung. Wenn Kunden über einen angeblich von einer seriösen Firma bereitgestellten Code Opfer eines Betrugs werden, kann das schwerwiegende Folgen nach sich ziehen. Der Ruf nimmt Schaden, Kundenbindung und Umsätze werden in Mitleidenschaft gezogen, und nicht zuletzt müssen Firmen mit rechtlichen Konsequenzen rechnen, wenn sie beim Schutz ihrer Kunden vor derartigen Betrügereien zu nachlässig sind.

Für die Allgemeinheit sind Auswirkungen oft direkter und persönlicher. Opfer von Quishing werden finanziell geschädigt, unter Umständen wird ihre Identität gestohlen und ihre Privatsphäre verletzt.

Auch generelle Bedenken gegenüber digitalen Innovationen können die Folge sein.

QR-Code Scams haben da oft einen Dominoeffekt, der über die direkt Betroffenen hinausgeht. Sie befördern eine Atmosphäre des Misstrauens und der Bedenken, was digitale Transaktionen anbelangt – und bremsen so den digitalen Wandel insgesamt.

Prävention und Best Practices

Für Verbraucher:

Lassen Sie beim Scannen von QR-Codes grundsätzlich Vorsicht walten. Achten Sie auf Anzeichen für eine Manipulation oder die Platzierung von QR-Codes an ungewöhnlichen Orten.

Nutzen Sie Apps, die eine Vorschau der mit dem QR-Code verknüpften URL anzeigen. So wissen Sie, wohin der Code Sie führt, bevor Sie auf der Website landen.

Und einmal mehr: Bleiben Sie skeptisch bei Angeboten, die zu schön sind, um wahr zu sein. Vor allem bei QR-Codes in Massen-Mails oder Flyern.

Für Unternehmen:

Unternehmen sollten in Technologien investieren, welche die Echtheit der von ihnen verwendeten QR-Codes überprüfen.

Regelmäßige Schulungen sollten die Mitarbeiter für QR-Code Phishing sensibilisieren.

Entwickeln Sie strenge Richtlinien was die Erstellung, Verteilung und Verwendung von QR-Codes innerhalb Ihres Unternehmens anbelangt und setzen Sie diese durch.

Bevor Sie einen QR-Code verwenden, machen Sie sich bewusst, ob und wie er derzeit für Phishing-Zwecke missbraucht werden könnte.

Zusätzlich zu diesen Maßnahmen gibt es weitere Tools, die helfen QR-Code Scams in Schach zu halten.

Lösungen wie das Deep-Layer-Scanning und die Analyse der zugrundeliegenden URLs senken das Risiko von Quishing-Angriffen. Diese Tools prüfen, wie sicher das Ziel eines QR-Codes ist, bevor sie dem Benutzer den Zugriff erlauben, und ergänzen so einen wichtigen Sicherheits-Layer.

QR-Code Scams und Quishing sind in der digitalen Welt zu einer großen Herausforderung geworden. Wie so oft lässt sich das Risiko aber durch eine sensibilisierte Wahrnehmung in Kombination mit den richtigen Tools deutlich senken. Das gilt für Firmen wie Verbraucher gleichermaßen, wenn sie weiterhin von den Vorteilen der QR-Code-Technologie profitieren wollen.

David Corlette, VIPRE Security Group

