OnD - Stock.Adobe.com
Das Risiko QR-Code-Phishing und Schutzmaßnahmen
QR-Codes werden von Anwendern häufig ohne jeden Argwohn benutzt. Das machen sich Angreifer zunutze und missbrauchen die Codes, um an sensible Daten ihrer Opfer zu gelangen.
Um ihre Opfer dazu zu bringen, persönliche Informationen, wie Kreditkarten- und Sozialversicherungsnummern oder Login-Daten preiszugeben, ist den Cyberkriminellen bekanntlich jedes Mittel recht. Aufgrund der relativ geringen Kosten und der hohen Erfolgsquote sind Phishing-Angriffe heute die häufigste Art und Weise, um Online-Konten zu kompromittieren. Doch diese Angriffe werden längst nicht mehr nur via E-Mails lanciert. Eine neue Form des Betrugs schlägt derzeit hohe Wellen – und sie kommt aus einer unerwarteten Quelle: QR-Codes.
Die meisten Phishing-Angriffe erfolgen per E-Mail, einschließlich betrügerischer Links oder Anhänge, andere werden per Textnachricht oder Telefonanruf verübt. So erhält der Nutzer beispielsweise eine scheinbar legitime Meldung seines Postdienstleisters, die ihn als Paketempfänger wissen lässt, dass seine Sendung im Lager angekommen ist. Um die Ware zu erhalten, müsse er lediglich auf einen Link klicken, um dort seine Daten für die Zustellung anzugeben – und übermittelt so alle sensiblen Informationen an den Cyberkriminellen.
Mit „Quishing“ zünden die Cyberkriminellen die neue Betrugsstufe. QR-Code-Phishing-Angriffe nutzen physische oder digitale QR-Codes, um Nutzer auf Fake-Websites zu locken, mit dem Ziel, vertrauliche Informationen zu stehlen oder ein Endgerät zu infiltrieren und mit Malware zu infizieren.
QR-Codes sind eine Art Barcode, die Klartext oder Links zum Herunterladen einer App, zum Zugriff auf Produktinformationen oder eine Speisekarte, zum Senden oder Empfangen einer Zahlung oder zur Anmeldung bei einem Konto enthalten können, um nur einige Beispiele zu nennen. Viele dieser Angriffe beruhen auf der Schaffung eines Gefühls der Dringlichkeit im Zusammenhang mit einem vermeintlichen Vorteil – etwa einem Gewinnspiel – oder einer Folge des Nichthandelns, wie etwa einem gesperrten Konto. Dem Quishing-Report der Perception Point Researchers zufolge stiegen die Phishing-Angriffe unter Verwendung bösartiger QR-Codes von August bis September 2023 um 427 Prozent. Noch beunruhigender: Im September waren 9,5 Prozent aller gescannten QR-Codes bösartig.
Quishing: So gehen die Cyberkriminellen vor
Beim QR-Code-Phishing platzieren die Angreifer entweder neue, bösartige QR-Codes an physischen Orten, welche dem potenziellen Opfer vertrauenswürdig erscheinen sollen, oder aber es kommen bösartige QR-Codes im Zuge eines E-Mail- oder Text-Phishing-Angriffs zum Einsatz.
Zum Beispiel:
Physischer QR-Code: Ein QR-Code ist an der Tür einer Bank angebracht. Beim Scannen wird der Benutzer aufgefordert, sich bei seinem Bankkonto anzumelden, um an einem Gewinnspiel teilzunehmen. Die Website wirkt dabei, als wäre sie mit den Bankdaten gebrandet. In Wahrheit jedoch haben es die Cyberkriminellen lediglich auf die Bankdaten abgesehen, die sie dann für ihre Zwecke missbrauchen können.
Digitaler QR-Code: Der Benutzer erhält eine E-Mail von einem seiner präferierten Einzelhändler, die einen QR-Code enthält, mit dem man sich für ein neues Treueprogramm anmelden kann. Sobald der Benutzer den Code auf seinem Computerbildschirm scannt, wird er aufgefordert, seine persönlichen Daten einzugeben, einschließlich Name, Adresse, Benutzername und Passwort. Auch Diese E-Mail enthält einen gefälschten QR-Code und nutzt damit eine neue Technologie in einem ansonsten typischen Phishing-Angriff. Diese Daten können nun verwendet werden, um auf die Website des Einzelhändlers und alle dort gespeicherten Informationen zuzugreifen. Wird dieses Passwort auch zur Anmeldung auf anderen Websites verwendet, was leider einer gängigen Praxis entspricht, öffnen diese erbeuteten Login-Daten den Hackern weitere Türen. Darüber hinaus könnten die persönlichen Daten auch auf dem Schwarzmarkt verkauft werden.
So schützt man sich vor Quishing
Um sich effektiv vor Quishing zu schützen, sollten Nutzer die Legitimität der Quelle des QR-Codes überprüfen. Denn während QR-Codes selbst nicht gekapert werden können, ist es simpel, einen neuen betrügerischen QR-Code-Aufkleber über eine legitime Quelle zu legen. QR-Codes, die auf Aufklebern basieren, keine Marke tragen oder an ungewöhnlichen Orten platziert sind, sollten mit Vorsicht behandelt werden. QR-Codes aus einer unbekannten Quelle sollte nicht vertraut werden und QR-Codes, die per E-Mail zugestellt werden, sollten immer mit äußerster Vorsicht behandelt werden, mit Ausnahme von mobilen Tickets, die von Dritten gelesen werden, wie etwa Eintrittskarten. Im Zweifelsfall lohnt es sich, zu ignorieren und die Quelle zu überprüfen, indem beispielsweise der vermeintliche Absender direkt über dessen Standard-Webseite oder den Kundendienst kontaktiert wird.
„Zertifizierungen bieten sich vor allem auch als strategisches Ziel an. Die entsprechenden Themen und Änderungen müssen in die Unternehmenskultur integriert werden, einfach Prozesse zu ersetzen oder zu optimieren bringt verhältnismäßig wenig.“
Alexander Koch, Yubico
Ein großes Problem ist sicherlich die Weitergabe sensibler Informationen. Denn der wirksame Schutz persönlicher sowie finanzieller Daten und das Vertrauen in Webseiten beziehungsweise Marken kann für viele Menschen eine Herausforderung darstellen. Einer Studie von Yubico zufolge sind rund ein Drittel der Internetnutzer nicht sicher, ob sie eine betrügerische Webseite erkennen würden. Da Phishing-Angriffe immer schwerer zu entlarven sind, sollte immer Vorsicht geboten sein, wenn nach persönlichen Daten, finanziellen Informationen oder Login-Codes gefragt wird.
Ein kritischer Blick ist auch bei den angebotenen Zahlungsmethoden vonnöten, denn nicht bei allen ist ein hoher Datenschutz geboten. Nutzer sollten sich für Kreditkarten entscheiden, die dem Verbraucherschutz eine hohe Priorität einräumen. Niemals sollten Bankdaten preisgegeben oder Gelder als Ergebnis einer QR-Code-Interaktion überwiesen werden.
Den wirksamsten Schutz jedoch bietet die Aktivierung einer starken, Phishing-resistenten Multifaktor-Authentifizierung (MFA) für alle Konten. Zwar ist jede Form von MFA besser als die Verwendung eines Benutzernamens und eines Passworts, aber nicht alle MFA-Methoden sind gleich. Gerätegebundene Passkeys wie beispielsweise Hardware-Sicherheitsschlüssel, bieten erweiterten Schutz für Online-Konten. Sicherheitsschlüssel verhindern Phishing-Angriffe, indem sie erfordern, dass der Nutzer ein Passwort sowie einen Sicherheitsschlüssel verwenden und ihr Endgerät berühren, um Zugang zu den Konten zu erhalten. Im Fall, dass einzelne Webseiten noch keine Passkeys unterstützen, haben Nutzer die Möglichkeit, auf einen seriösen Passwort-Manager zurückzugreifen, um starke, eindeutige Anmeldedaten zu generieren und den Login auf verschiedenen Geräten zu erleichtern.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.