QR-Code-Phishing
Author
Maren Keller, Mo, 4. Okt. 2021
in Aktuelles

QR-Code-Phishing

Neue Masche, das Ziel bleibt: Ihre sensiblen Daten

Haben Sie schon mal vom QR-Code-Phishing gehört? Nein? Dann erfahren Sie heute, worum es sich beim Phishing per QR-Code handelt und wie das überhaupt funktioniert.

Zudem zeigen wir Ihnen, was ein QR-Code ist und wie Sie sich vorm QR-Code-Phishing schützen können.

Was ist ein QR-Code?

Einen QR-Code haben Sie bestimmt schonmal gesehen, genutzt oder sogar selbst erstellt. Aber was genau ist eigentlich ein QR-Code und wie funktioniert QR-Code-Phishing?

QR steht dabei für „Quick Response“ also die schnelle Antwort. Und der Name ist Programm, denn nachdem Sie den QR-Code mit Ihrer Kamera oder einer installierten App gescannt haben, sind die Informationen, die hinterlegt sind, sofort abrufbar. Die Infos sind dabei unter dem Muster, aus dem Code besteht, versteckt. Der QR-Code kann maximal 177 x 177 Elemente enthalten. Er hat – in Zahlen ausgedrückt – eine Kapazität von bis zu 4.296 alphanumerischen Zeichen oder 7.089 Dezimalziffern. Dabei besteht er aus zwei Bestandteilen:

  1. Aus drei Quadraten in den Ecken des Codes, an denen sich der Scanner orientiert.
  2. Aus dem Code, der als Muster aus Punkten und Linien eingebettet ist und die Informationen enthält.

Die Informationen, die sich hinter dem schwarz-weißen Muster verstecken, können ganz unterschiedlich sein. Das kann eine Webseite sein, aber auch ein Bild, ein Text oder ein PDF-Datei. Sie können mittles QR-Code eine vorgefertigte E-Mail senden oder den App-Store aufrufen. Moderne Museen oder historische Stadtrundgänge arbeiten ebenfalls oft mit QR-Codes, die an Gebäuden oder Ausstellungsstücken hinterlegt sind.

QR-Code, der zur Webseite von PC-SPEZIALIST führt. Bild: erstellt mit qrcode-generator.de

QR-Codes enthalten wichtige Informationen und leiten beispielsweise zu Webseiten weiter – dieser hier zu PC-SPEZIALIST. Bild: erstellt mit qrcode-generator.de

QR-Code für Cyberkriminelle interessant

Natürlich sind QR-Codes auch für Cyberkriminelle interessant. Denn natürlich lassen sich hinter dem Muster auch betrügerische Informationen verstecken. Das kann beispielsweise eine Webseite sein, die Schadsoftware enthält. Zu Ihrem Schutz ist deshalb wichtig, dass die App, die Sie zum Auslesen des QR-Codes nutzen, zunächst anzeigt, was der Code enthält. Beispielsweise die Webseite, auf die verlinkt wird. Achten Sie dabei unbedingt darauf, dass die Webseite mit „https://“ beginnt und öffnen Sie nur nur Links, den Sie vertrauen.

Und auch die App Stores können Gefahren bergen. Denn es kann immer mal wieder vorkommen, dass Barcode- oder QR-Code-Scanner mit Malware verseucht sind. In unserem Blogbeitrag Barcode-Scanner-App mit Malware finden Sie genauere Informationen, welche App gefährdet war.

Bei neuen Smartphones kann die Kamera ohne zusätzliche App eine QR-Code scannen, sodass das Risiko, eine schadhafte App zu installieren, geringer geworden ist. Auch Tablet-Kameras sind in der Lage, QR-Codes zu scannen und die Informationen abzurufen.

QR-Code-Phishing – wie funktioniert das?

Nicht neu ist, dass Kriminelle mit Phishing (und immer häufiger auch mit dem zielgerichteterem Spear-Phishing) schnell und einfach an das Geld ihrer Opfer gelangen wollen. Eine neue Masche ist nun das QR-Code-Phishing, was sich immer größerer Beliebtheit erfreut.

Zur Erinnerung: Beim klassischen Phishing versuchen Kriminelle mittels mitgesendetem Link in einer E-Mail Ihre Login-Daten abzugreifen und so an Ihr Geld zu kommen. Zahlreiche Beispiele zu diesem Thema finden Sie bei uns im Blog.

Aber wie funktioniert denn nun das QR-Code-Phishing? Im Grunde kaum anders als das klassische Phishing. Sie erhalten eine E-Mail, in der beispielsweise eine Kontosperrung durch Ihre Bank oder Ihren Streamingdienst oder Ihren bevorzugten Online-Shop angedroht wird. Neu ist nun, dass in der E-Mail kein Link enthalten ist, sondern ein QR-Code. Scannen Sie ihn mit Ihrer Kamera, gelangen Sie zu einer gefälschten Webseite, auf der Sie Ihre Login-Daten eingeben sollen. Die kriminellen Hintermänner fangen dabei Ihre persönlichen Daten ab.

Vor QR-Code-Phishing können Sue sich leicht schützen. Bild: Unsplash/Proxyclick Visitor Management System

So schützen Sie sich vor QR-Code-Phishing

Ob allgemeines Phishing oder QR-Code-Phishing. Der größte Schutz ist Ihre Wachsamkeit – und natürlich ein aktueller Antivirenschutz, den Sie bei Ihrem PC-SPEZIALIST vor Ort erhalten. Wichtige Hinweise auf Phishing-Versuche sind:

  • Sie bekommen die Aufforderung, sich in ein Konto einzuloggen, obwohl Sie kein Kunde des Anbieters sind? Dann löschen Sie die E-Mail sofort, ohne Link anzuklicken oder QR-Code zu scannen.
  • In der E-Mail findet sich keine persönliche Ansprache, sondern nur ein allgemeines „Sehr geehrte/geehrter Kunde“? Verdächtig! Die E-Mail können und sollten Sie löschen.
  • Die E-Mail enthält Rechtschreibfehler? Vermutlich wurde Sie mit einem Übersetzungsprogramm angelegt – löschen Sie eine solche E-Mail.
  • Die Absender-Adresse klingt seltsam und der Link, den Sie anklicken sollen, sieht ebenfalls merkwürdig aus.
  • Ihr Antivirenprogramm meldet verdächtige Aktivitäten.

Unser Tipp: Klicken Sie niemals auf verdächtige Links oder QR-Codes. Es könnte sich um Phishing-Versuche handeln. Zuverlässigen Schutz finden Sie im Eins-für-Alles-Paket. Unsere IT-Experten passen damit auf Ihr Gerät und Ihre Daten auf, sodass Ihnen Angriffe von außen nichts anhaben können.

QR-Code selbst erstellen

QR-Codes funktionieren, indem die Handykamera den Code scannt, verarbeitet und ausführt. Beim QR-Code-Phishing ist das nichts anderes. Nur die Zielseite ist gefälscht oder mit Schadcode versehen.

Doch wie kann man selbst einen QR-Code erstellen? Das ist gar nicht schwer, denn dafür gibt es Apps und Webseiten, wie beispielsweise die Webseite qrcode-generator. Sie müssen nur wissen, welche Information Sie hinter dem schwarz-weißen Muster hinterlegen wollen. Wählen Sie eine Funktion wie beispielsweise URL-Verlinkung, Text oder Bild aus und geben Sie dann die Informationen ein.

Die App oder Webseite generiert dann Ihren persönlichen QR-Code, den Sie als als Bild-Datei im .jpeg-Format oder als Vektor-Datei im .svg-Format speichern können. Anschließend können Sie mit der Datei machen, was Sie wollen. Auf einer Webseite hinterlegen, als Aufkleber am Auto spazieren fahren oder über Messenger/Social-Media-Plattform teilen.

Wichtig: Achten Sie bei der Erstellung darauf, dass Sie einen dynamischen QR-Code generieren. Mit ihm können Sie die Ziel-URL flexibel anpassen, ohne das der Code seine Funktion verliert. Diese Option kostet allerdings häufig extra. Bei einem statischen QR-Code führt eine Veränderung der Ziel-URL allerdings dazu, dass der Code in dem Falle nicht mehr funktioniert.

_______________________________________________

Weiterführende Links: Spam-info, ionos.de

0 Kommentare

    Schreiben Sie einen Kommentar

    Ihre E-Mail Adresse wird nicht veröffentlicht.