QR-PHiSHiNG: DiE GEFAHR HiNTER DEM SCHWARZEN PiXELMUSTER

AKTUALiSiERT:

QR-Codes sind praktisch.

Ein kurzer Scan mit dem Smartphone genügt und schon landet man auf einer Webseite, lädt eine Datei herunter oder öffnet eine Anwendung.

Genau diese Bequemlichkeit macht QR-Codes jedoch auch für Betrüger interessant.

Denn anders als bei einem normalen Link erkennt man auf den ersten Blick nicht, wohin ein QR-Code tatsächlich führt.

Und genau dort beginnt das Problem.

QR-Phishing - was ist das?

Was ist QR-Phishing?

QR-Phishing, oft auch "Quishing" genannt, ist eine Betrugsmasche, bei der QR-Codes genutzt werden, um Menschen auf gefälschte Webseiten oder andere schädliche Inhalte zu locken.

Das Ziel ist dabei dasselbe wie beim klassischen Phishing:

  • Zugangsdaten stehlen
  • persönliche Informationen sammeln
  • Schadsoftware verbreiten
  • finanzielle Schäden verursachen

Der Unterschied liegt lediglich im Transportmittel. Statt einer E-Mail wird ein QR-Code verwendet.

Wie funktioniert QR-Phishing?

Die Vorgehensweise ist meist simpel.

Der Angreifer erstellt einen QR-Code, der auf eine manipulierte Webseite verweist.

Dieser QR-Code wird anschließend verbreitet.

Zum Beispiel über:

  • E-Mails
  • soziale Netzwerke
  • Videoportale
  • Messenger-Dienste
  • Plakate
  • Flyer
  • Aufkleber
  • gefälschte Rechnungen

Der Benutzer scannt den Code und landet auf einer Webseite, die oft täuschend echt aussieht.

Dort werden anschließend:

  • Passwörter
  • Bankdaten
  • Kreditkarteninformationen
  • persönliche Daten

abgefragt.

Manchmal wird auch versucht, Schadsoftware auf dem Gerät zu installieren.

QR-Phishing - wie funktioniert das?

Warum funktioniert das so gut?

Weil QR-Codes Vertrauen genießen. Viele Menschen betrachten einen QR-Code als etwas Harmloses. Ein kleines schwarz-weißes Muster. Mehr nicht.

Tatsächlich verbirgt sich dahinter jedoch meist nichts anderes als ein Link.

Und genau wie bei normalen Links gilt:

Nicht jeder Link führt dorthin, wo man es erwartet.

Wo begegnet man QR-Phishing?

QR-Codes tauchen heute nahezu überall auf. Deshalb gibt es leider auch viele Möglichkeiten für Missbrauch.

Gefälschte Parkautomaten

Immer wieder werden echte QR-Codes durch Aufkleber ersetzt.

Wer den manipulierten Code scannt, landet auf einer gefälschten Zahlungsseite.

E-Mails

Manche Betrüger verwenden QR-Codes, um Sicherheitsfilter zu umgehen.

Der eigentliche Link befindet sich dann nicht im Text, sondern im QR-Code selbst.

Öffentliche Aushänge

Plakate, Flyer oder Werbetafeln können manipulierte Codes enthalten.

Soziale Netzwerke

Auch dort werden QR-Codes zunehmend zur Verbreitung betrügerischer Inhalte genutzt.

Videoportale

In Videosequenzen angezeigte QR-Codes zum scannen um in Spielen an Bonusinhalte zu kommen.

Woran erkennt man QR-Phishing?

Leider nicht immer sofort. Einige Warnzeichen können jedoch helfen.

Unerwartete QR-Codes

Werden plötzlich QR-Codes verschickt oder angezeigt, obwohl kein ersichtlicher Grund besteht, sollte man aufmerksam werden.

Zeitdruck

"Jetzt bestätigen", "Sofort handeln", "Dringende Verifizierung erforderlich"

Solche Formulierungen sollten grundsätzlich misstrauisch machen.

Ungewöhnliche Webseiten

Nach dem Scannen sollte immer geprüft werden, auf welcher Webseite man tatsächlich gelandet ist.

Die Adresse im Browser verrät oft mehr als das Erscheinungsbild der Seite.

Aufgeklebte QR-Codes

Befindet sich ein QR-Code als Aufkleber über einem anderen Code, ist besondere Vorsicht geboten.

Gute Gewohnheiten gegen QR-Phishing

Der beste Schutz ist Aufmerksamkeit.

Einige einfache Gewohnheiten helfen dabei:

  • QR-Codes nicht blind scannen
  • Webseiten-Adressen kontrollieren
  • Links kritisch hinterfragen
  • Zeitdruck ignorieren
  • Bei Unsicherheit lieber verzichten
  • Zahlungsseiten besonders sorgfältig prüfen

Ein QR-Code ist letztlich nur ein versteckter Link.

Und unbekannte Links sollte man grundsätzlich mit Vorsicht behandeln.

QR-Phishing - gute Gewohnheiten

Zu spät? Was jetzt?

Wurde bereits eine Webseite geöffnet oder wurden Daten eingegeben, sollte schnell gehandelt werden.

Passwörter ändern

Betroffene Konten absichern.

Zahlungsdaten prüfen

Kontobewegungen und Kreditkartenabrechnungen kontrollieren.

Anbieter informieren

Banken oder betroffene Unternehmen möglichst schnell benachrichtigen.

Gerät beobachten

Verdächtige Aktivitäten oder ungewöhnliches Verhalten des Smartphones ernst nehmen.

Die wichtigste Regel

Ein QR-Code ist nicht automatisch vertrauenswürdig.

Er sieht lediglich harmloser aus als ein gewöhnlicher Link.

Doch hinter dem schwarz-weißen Pixelmuster kann sich alles Mögliche verbergen.

Deshalb gilt dieselbe Regel wie überall im Internet:

  • Nicht klicken
  • Nicht scannen
  • Nicht vertrauen

Zumindest nicht blind.

Denn oft reicht ein kurzer Blick mehr aus als jede Sicherheitssoftware.

Und manchmal verhindert genau dieser Blick einen sehr unangenehmen Tag.

ÄHNLiCHE BEiTRÄGE:

Schreibe einen Kommentar