Im Januar 2020 warnte das FBI in einer öffentlichen Bekanntmachung die Bevölkerung vor einem neuen Trend: Danach können Cyberkriminelle Anwender mithilfe von QR-Codes auf bösartige Websites umleiten, um dann ihre Zugangs- und Finanzdaten zu stehlen. Darüber hinaus warnte die Behörde, dass diese Codes auch Malware enthalten können.
Das klingt zunächst überaus besorgniserregend, insbesondere da während der Pandemie viele Unternehmen QR-Codes einsetzen, um kontaktlose Dienstleistungen bereitzustellen. Selbst Jen Easterly, die Direktorin der US Cybersecurity and Critical Infrastructure Agency, hat einen QR-Code auf ihrer Visitenkarte – zumindest behauptet sie das eher scherzhaft in einem Tweet.
Meine neue Visitenkarte … 🤔 pic.twitter.com/nXM8IH5ZWA
– Jen Easterly 🛡 Shields Up! (@CISAJen) 14. Februar 2022
Doch wie ernst sollte man QR-Codes als Angriffsinstrument tatsächlich nehmen?
In diesem Blogartikel erläutern wir, wie Angriffe über falsche QR-Codes funktionieren und ob es überhaupt sicher sein kann, sie zu scannen.
Funktionsweise von QR-Codes
Bevor wir uns den Angriffsmechanismen selbst widmen, gilt eins klarzustellen: QR-Codes selbst sind nicht bösartig. Sie sind im Grunde lediglich quadratische Barcodes, die aus einer Reihe von Quadraten und Punkten bestehen, um einen binären Code darzustellen. Beim Scannen eines QR-Codes mit Ihrem Smartphone wird dieser Code in seine ursprüngliche Datenform umgewandelt. QR-Codes werden in der Regel eingesetzt, um Anwender auf Startseiten zu bringen, Apps herunterzuladen oder Zahlungsinformationen zu senden und zu empfangen. In letzter Zeit wurden sie auch vermehrt eingesetzt, um Kontakte mit COVID-19-Fällen nachzuverfolgen und damit die Ausbreitung des Virus einzudämmen.
Das menschliche Auge kann QR-Codes nicht lesen, weshalb es für Angreifer relativ einfach ist, seriöse QR-Codes durch ihre eigenen bösartigen zu ersetzen, die wiederum mit deren eigenen Seiten verlinkt sind. Wenn Sie also einen QR-Code scannen, um die Speisekarte eines Restaurants aufzurufen, und dabei auf eine falsche Website weitergeleitet werden, ist das nicht allzu schlimm. Möchten Sie jedoch über den Code eine Website aufrufen, über die Sie Ihre Finanzdaten eingeben, sieht das schon anders aus.
Im Januar 2022 ist genau das in Austin im US-Bundesstaat Texas passiert, als die Polizei Aufkleber mit falschen QR-Codes entdeckte, die auf über zwei Dutzend öffentliche Parkautomaten geklebt worden waren. Personen, die ihre Parkgebühren über die QR-Codes bezahlen wollten, wurden auf eine gefälschte Website umgeleitet, wo sie ihre Zahlungen stattdessen an den Betrüger leisteten.
Wie ernst ist die Bedrohung also?
Trotz der Warnung des FBI und den vielen Medienberichten anschließend muss sich die Allgemeinheit keine allzu großen Sorgen um Angriffe per QR-Codes machen
Es gibt heutzutage viele Gerüchte rund ums Hacken und einiges davon kommt auch von normalerweise vertrauenswürdigen Organisationen. Wir haben in letzter Zeit Warnungen gesehen, nach denen durch das Scannen von QR-Codes angeblich Malware auf das Handy gelangt oder Bankkonten kompromittiert werden. Diese lassen sich leider nicht durch Fakten belegen. Während nichts tatsächlich 100 % sicher ist, leisten die Handyhersteller allerdings gute Arbeit darin sicherzustellen, dass QR-Codes nicht zu einem Sicherheitsproblem für Sie werden. – Bob Lord, ehemaliger CSO des Democratic National Committees und CISO bei Yahoo
Obwohl es theoretisch möglich ist, Malware in einen QR-Code zu integrieren, ebenso wie beispielsweise auch das Spiel „Snake“, wurde das noch nie tatsächlich getan – zumindest nicht, sofern wir oder Bob Lord wissen. Handys sind in der Tat recht sicher und es wäre extrem schwer, einen derartigen Angriff umzusetzen. Kurz gesagt, das Scannen eines QR-Codes führt nicht dazu, dass im Hintergrund Malware auf Ihrem Handy installiert wird. Sie müssen sich also darum derzeit noch keine Gedanken machen. Phishing-Angriffe stellen jedoch in der Tat ein Risiko dar und wie zuvor erwähnt gab es auch schon Fälle dazu. Derartige Vorfälle sind aber sehr selten. Es ist wesentlich wahrscheinlicher, dass Sie eine E-Mail mit einem Phishing-Versuch erhalten, als dass Sie auf einen betrügerischen QR-Code stoßen.
Allgemeine Schutzstrategien
Das von QR-Codes ausgehende Risiko mag zwar gering sein, es bedeutet allerdings nicht, dass es gar keines gibt. Sie sollten also dennoch auf einige Dinge achten. Wenn Sie einen QR-Code für die Speisekarte in einem Restaurant aufrufen oder in Ihrer privaten Umgebung zu Hause, um Ihren Fernseher mit Ihrem Netflix-Konto zu verbinden, müssen Sie sich wirklich keine Sorgen machen. Wenn Sie jedoch mit einem QR-Code eine Website öffnen möchten, um personengebundene oder Finanzdaten einzugeben, ist etwas mehr Vorsicht angeraten – insbesondere wenn der QR-Code öffentlich zugänglich ist und damit Unfug getrieben werden konnte. Dann ist es in der Regel besser, wenn Sie die URL der gewünschten Seite manuell aufrufen.
Fazit
Es gibt nur wenige Angriffe über QR-Codes, so dass die Gefahr für die Allgemeinheit eher gering ist. Sie brauchen also nicht darauf verzichten, solange Sie sich eines geringen Risikos bewusst sind und vorsichtig bleiben.
Übersetzung: Doreen Schäfer