OnD - Stock.Adobe.com

QR-Codes als Gefahr für die Sicherheit mobiler Geräte

QR-Codes sind für Anwender einfach zu nutzen. Das geschieht oft ohne Risikobewusstsein. Diese Herausforderungen müssen Unternehmen und IT-Teams richtig adressieren.

QR-Codes gehören mittlerweile zum Alltag. Sie sind bereits in vielen Anmeldeprozessen, auf Webseiten, aber auch auf Speisekarten oder in Werbeanzeige zu finden. Die Nutzung ist denkbar einfach und erleichtert Anwendern Prozesse. In Sachen Sicherheit können QR-Codes jedoch eine sehr ernsthafte Bedrohung für die Anwender darstellen.

In den letzten Jahren hat sich das Scannen eines QR-Codes zu einer beliebten Methode entwickelt, um komplexe Prozesse für Endanwender zu vereinfachen, kontaktlose Transaktionen durchzuführen und vieles mehr. Aufgrund ihrer Einfachheit in der Anwendung und ihrer zunehmenden Verbreitung sind QR-Codes jedoch auch ein beliebtes Ziel für Angreifer, die nach neuen Möglichkeiten zur Verbreitung von Malware und zum Diebstahl von Daten suchen. Unternehmen sollten sich über die verschiedenen Bedrohungen informieren, die unter dem Deckmantel dieser praktischen QR-Codes auftreten können - und darüber, wie sie sich davor schützen können.

Was sind QR-Codes?

QR-Codes werden manchmal als 3D-Barcodes beschrieben. Sie funktionieren ähnlich wie ein Strichcode und bestehen aus einer Reihe von Quadraten, die in einem viel größeren Quadrat angeordnet sind. Während ein Strichcode in der Regel nur kurze alphanumerische Zeichenfolgen darstellen kann, ist ein QR-Code in der Lage, größere Datenmengen zu speichern.

QR-Codes werden häufig für Werbung verwendet, da sie lange Datenfolgen speichern können. Dadurch eignen sie sich sehr gut für das Speichern von URLs, etwa mit Smartphones, die wohl am häufigsten als QR-Code-Scanner fungieren. Praktisch jede Person kann einen QR-Code scannen und wird direkt auf die entsprechende Website weitergeleitet, ohne dass er oder sie die Adresse der Website mühsam von Hand eintippen muss. Daher werden QR-Codes von Werbetreibenden auf Plakatwänden, in Magazinen, auf Messeständen und überall dort prominent platziert, wo ein QR-Code Aufmerksamkeit erregen kann.

QR-Codes helfen Unternehmen auch dabei, die Wirksamkeit ihrer verschiedenen Werbekampagnen zu messen. Wenn ein Unternehmen Werbeflächen an verschiedenen Standorten kauft, kann es für jeden Standort einen anderen QR-Code verwenden, der jeweils auf eine eindeutige URL verweist. So kann das Unternehmen feststellen, welche Codes gescannt wurden, um auf die beworbene Website zu gelangen. Durch das Verfolgen der Scans lässt sich feststellen, welche Werbung das größte Interesse bei den Menschen weckt.

Nicht nur Werbetreibende machen sich dies zunutze. Tatsächlich haben sich QR-Codes in den letzten Jahren in vielen anderen Bereichen zu einem wichtigen Trend entwickelt. Seit der COVID-19-Pandemie haben sich QR-Codes in vielen Bereichen wie der Gastronomie oder bei Anmeldungen ganz selbstverständlich etabliert.

In Büchern sind QR-Codes ebenfalls zu finden, etwa bei Verweisen auf weiterführende Informationen zu bestimmten Themen. Wenn die Leser mehr Informationen zu einem Thema wünschen, das für eine bestimmte Seite relevant ist, kann ein QR-Code sie zu einem Nachrichtenartikel, einem YouTube-Video oder anderen Ressourcen führen.

Sicherheitsfragen bei QR-Codes

Obwohl QR-Codes zahlreiche nützliche Anwendungen ermöglichen, können böswillige Akteure sie auch für ihre Zwecke verwenden. Im Januar 2022 veröffentlichte das FBI eine Warnung, dass Cyberkriminelle QR-Codes manipulieren können, um die Nutzer auf bösartige Websites zu leiten. Betrüger orientieren sich leider oft an den neuesten Trends bei der Cyberkriminalität.

Es gibt zwei Haupttypen von Angriffen über QR-Codes. Der erste ist ein QR-Code-basierter Phishing-Angriff, der auch als Quishing bezeichnet wird. Bei diesem Angriff wird ein QR-Code verwendet, um ein Opfer auf eine Phishing-Seite zu locken, die von den Hackern so gestaltet wurde, dass sie die Anmeldedaten, persönlichen Daten oder andere sensible Informationen des Opfers stehlen kann (siehe auch Quishing: Ein QR-Code-Scan genügt für einen Phishing-Angriff).

Die zweite Hauptart von QR-Code-Angriffen ist unter dem Namen QRLjacking bekannt. Bei dieser Art von Angriff verwenden Hacker einen QR-Code, um Malware auf dem Gerät des Opfers zu verbreiten. Der Angreifer bringt den Anwneder dazu, einen QR-Code zu scannen, der sein Gerät zu einer bösartigen URL leitet, die das Gerät mit Malware infiziert.

Neben diesen beiden grundlegenden Angriffsarten können QR-Codes auch andere Aktionen auf Geräteebene auslösen. Beispielsweise könnte ein Hacker einen QR-Code verwenden, um von dem Gerät, das den Code gescannt hat, automatisch einen Telefonanruf zu tätigen oder eine Textnachricht zu senden. Unter den richtigen Umständen können Hacker QR-Codes sogar verwenden, um eine Zahlung vom Gerät des Benutzers aus zu veranlassen oder das Gerät zu zwingen, einem bestimmten WLAN-Netzwerk beizutreten.

Warum QR-Code-Exploits funktionieren

Wenn Cyberkriminelle in der Vergangenheit einen Phishing-Betrug starten oder potenzielle Opfer auf eine bösartige Website locken wollten, nutzten sie in der Regel E-Mails. Das Problem bei dieser Vorgehensweise aus Sicht der Kriminellen: Es gibt verräterische Anzeichen dafür, dass eine E-Mail nicht legitim ist, zum Beispiel Rechtschreibfehler oder Links zu zweifelhaften URLs. Oftmals wird das Opfer in einer Phishing-Nachricht zu Handlungen aufgefordert, die völlig unlogisch erscheinen. Zu den dreisteren Beispielen gehören Aufforderungen, säumige Steuerschulden mit Apple-Geschenkkarten zu begleichen, oder Nachrichten, in denen behauptet wird, der Empfänger habe in einer nicht existierenden Lotterie gewonnen und müsse auf einen Link klicken, um seinen Gewinn einzufordern.

Unter den richtigen Bedingungen können Hacker sogar QR-Codes verwenden, um eine Zahlung vom Gerät des Benutzers aus zu veranlassen oder das Gerät zu zwingen, einem bestimmten WLAN beizutreten.

Selbst wenn eine Phishing-Nachricht überzeugender ist, gibt es immer Anzeichen dafür, dass die Nachricht unrechtmäßig ist. Wer weiß, worauf er achten muss, und sich die Zeit nimmt, eine solche Nachricht genau zu prüfen, wird ohne Probleme feststellen, dass sie gefälscht ist.

Das ist bei QR-Codes nicht der Fall. Menschen können eine Phishing-E-Mail lesen, um sie auf verdächtige Elemente zu überprüfen. Bei QR-Codes hingegen ist das nicht möglich. Wenn eine Person einen QR-Code scannt, kann sie im Voraus nicht herausfinden, ob der Code echt ist. Genau das macht QR-Code-basierte Angriffe so verheerend. Die Grundelemente des Angriffs unterscheiden sich nicht von einem Angriff, den Hacker per E-Mail verbreiten. Da das Opfer jedoch die Echtheit eines QR-Codes nicht einschätzen kann, ist ein QR-Code-basierter Angriff mit größerer Wahrscheinlichkeit erfolgreich als ein E-Mail-basierter Angriff.

Ein weiteres Problem bei QR-Codes ist, dass Hacker einen legitimen QR-Code leicht durch einen bösartigen ersetzen können. Wenn beispielsweise ein Restaurant QR-Codes bereitstellt, die auf die Speisekarte verweisen, könnte ein Angreifer einfach Aufkleber mit bösartigen QR-Codes erstellen und diese Aufkleber über die legitimen QR-Codes legen. Es hat auch schon Fälle gegeben, in denen Hacker einen legitimen QR-Code in einer E-Mail-Nachricht durch einen bösartigen QR-Code ersetzt haben. Und es kam sogar vor, dass Angreifer zufällige QR-Codes an öffentlichen Plätzen platzieren, damit jemand neugierig genug wird, um den Code zu scannen.

So können sich Unternehmen vor den Gefahren von QR-Codes schützen

Es gibt drei Dinge, die Unternehmen tun müssen, um Anwender vor QR-Code-basierten Angriffen zu schützen und die möglichen Folgen eines betrügerischen QR-Codes zu vermeiden:

  • Stellen Sie sicher, dass auf allen mobilen Geräten, die auf Unternehmensressourcen zugreifen können, Sicherheitssoftware installiert ist. Die Software sollte vor Angriffen zur Übernahme der Geräte, Phishing-Angriffen und anderen Attacken auf mobile Geräte schützen.
  • Informieren Sie die Anwender in Awareness-Trainings über die Gefahren der Cybersicherheit, die mit dem Scannen von QR-Codes verbunden sind. Andernfalls sind sich die Benutzer möglicherweise nicht bewusst, dass QR-Codes problematisch sein können.
  • Führen Sie vorübergehend die Anforderungen für die Multifaktor-Authentifizierung (MFA) im gesamten Unternehmen ein und arbeiten Sie dann schrittweise an der Einführung einer Authentifizierungslösung, die nicht auf Passwörter angewiesen ist. Viele QR-Code-basierte Angriffe zielen darauf ab, Anwender zur Eingabe von Passwörtern zu verleiten, damit Cyberkriminelle ihre Anmeldedaten stehlen können. Die Abschaffung von Passwörtern kann dazu beitragen, diese Art von Angriffen zu vereiteln.

 

Erfahren Sie mehr über Mobile Geräte