Unterschätzte Gefahr
Angriffsvektor QR-Code
QR-Codes werden immer häufiger von Cyberkriminellen dafür missbraucht, ihre Opfer auf manipulierte Webseiten zu locken. Dabei haben sie leichtes Spiel, denn die Piktogramme werden von den meisten Menschen bedenkenlos gescannt.
QR-Codes sind heute allgegenwärtig. Nicht verwunderlich, denn sie sind leicht zugänglich und einfach zu produzieren. Gleichzeitig bieten die Piktogramme jedoch auch eine perfekte Möglichkeit für Cyberkriminelle persönliche Daten ahnungsloser Nutzer abzugreifen. Auch das FBI warnte bereits vor der zunehmenden Gefahr des QR-Code-Betrugs, inzwischen werden derartige Angriffe bereits häufig durchgeführt. So haben Angreifer in Deutschland bereits Online-Banking-Kunden mit Phishing-Mails, die QR-Codes enthielten, auf gefälschte Webseiten geleitet, um ihnen auf diese Weise ihre die Zugangsdaten zu stehlen.
Sieben Tipps gegen QR-Code-Phishing
Das Sicherheitsunternehmen CyberArk hat sieben Tipps aufgelistet, wie sich wie sich Anwender besser QR-Code-Phishing schützen können.
Nicht scannen: Neben jedem seriösen QR-Code sollte eine zugehörige URL stehen, die den Nutzern ein direktes Aufrufen der Webseite ermöglicht. Wenn diese URL fehlt, ist Vorsicht angebracht.
Langsam starten: Anwender sollten QR-Codes keinesfalls bedenkenlos scannen, sondern sich immer fragen, wer der Urheber des Codes ist und ob man darauf vertrauen kann, dass der Code nicht manipuliert wurde. Auch die Frage, ob die Platzierung eines QR-Codes überhaupt sinnvoll ist, ist hilfreich, um potenziellen Betrug zu entlarven.
QR-Code-URLs überprüfen: Wer sicher sein will, dass ein QR-Code seriösen Ursprungs ist, kann nach dem Scannen des Codes die URL überprüfen, zu der er führt. Dabei sollte zum Beispiel kontrolliert werden, ob der QR-Code mit der richtigen Organisation verbunden ist. Man kann auch eine schnelle Websuche nach der URL durchführen, um die Echtheit des QR-Codes zu ermitteln.
Auf Anzeichen für physische Manipulationen achten: In Restaurants und an anderen öffentlich zugänglichen Orten werden QR-Codes häufig verwendet. Hier ist Vorsicht geboten. So sollten Nutzer beispielsweise darauf achten, ob ein QR-Code-Sticker mit einem anderen überklebt ist.
Niemals Apps über QR-Codes downloaden: Kriminelle können Webseiten leicht klonen und fälschen. Apps sollten deshalb immer über einen offiziellen App-Store heruntergeladen werden.
Keine elektronischen Zahlungen über QR-Codes tätigen: Um sicher zu sein, sein Geld nicht unwissentlich in die Hände von Cyberangreifern zu geben, sollte seine Zahlungsvorgänge ausschließlich über native Apps oder über die Anmeldung an einer offiziellen Domain tätigen.
Multi-Faktor-Authentifizierung (MFA) nutzen: Eine MFA-Lösung trägt dazu bei, dass vertrauliche Accounts besser geschützt sind. Hilfreich ist das beispielsweise bei Bankgeschäften, der E-Mail-Kommunikation oder bei Social-Media-Anwendungen. Eine zusätzliche Authentifizierungsebene verhindert dabei, dass Internetbetrüger bereits mit einer Login-Information und einem Passwort auf Daten zugreifen können.
Anwender zu arglos
„Durch mehr als zwei Jahre pandemiebedingte Internetkriminalität sind viele Verbraucher bei ihren digitalen Aktivitäten vorsichtiger geworden. E-Mails, Anrufe und sogar Textnachrichten werden genau geprüft“, weiß Len Noe, Technical Evangelist und White Hat Hacker bei CyberArk. QR-Codes hingegen würden nicht wirklich als potenziell gefährlich eingestuft und von den meisten Menschen – ohne groß zu überlegen – gescannt. „Da QR-Codes aber zunehmend zu einer beliebten Phishing-Methode der Angreifer werden, ist bei der Nutzung immer Skepsis angebracht“, rät der Experte.
Lesen Sie mehr zum Thema
