Thought Leadership
QR-Codes sind praktisch – doch genau das macht sie für Betrüger so attraktiv. Mit sogenannten Quishing-Angriffen locken Kriminelle ahnungslose Nutzer in eine gefährliche Falle.
QR-Codes sind mittlerweile allgegenwärtig: Im Restaurant, an Parkautomaten oder in Werbeprospekten – mit einem schnellen Scan gelangt man zu Informationen oder Services. Doch genau diese alltägliche Nutzung machen sich Betrüger zunutze. Beim sogenannten Quishing (eine Kombination aus QR-Code und Phishing) nutzen Kriminelle manipulierte QR-Codes, um ahnungslose Nutzer auf gefälschte Webseiten zu locken oder Schadsoftware auf ihre Geräte zu schleusen.
Tückische Tarnung: Warum Quishing so gut funktioniert
Ein großer Vorteil für Betrüger: Anders als bei klassischen Links ist bei QR-Codes nicht sofort ersichtlich, wohin der enthaltene Link führt. „Auf mobilen Geräten, wo die meisten QR-Scans stattfinden, können Betrüger so noch leichter unerkannt operieren.“ Während man bei Links mit der Maus eine Vorschau abrufen kann, leitet ein QR-Code-Scan den Nutzer oft direkt auf die dahinterliegende Website – ohne unmittelbare Warnung.
Zusätzlich genießen QR-Codes ein hohes Maß an Vertrauen. Da sie häufig von Unternehmen genutzt werden und an „glaubwürdigen“ Orten auftauchen, ist die Gefahr groß, dass Nutzer arglos scannen. Betrüger setzen auf diese Blauäugigkeit, indem sie zum Beispiel ihre bösartigen QR-Codes als Sticker über echte QR-Codes kleben – etwa an Parkscheinautomaten oder in Geschäften. Die Opfer gelangen dann auf gefälschte Seiten, auf denen sie sensible Daten preisgeben.
Digitale Angriffe per E-Mail und SMS
Doch nicht nur physische QR-Codes werden manipuliert. Auch in der digitalen Welt werden sie als Angriffsmittel genutzt – etwa per E-Mail oder SMS. Kriminelle geben sich als Banken, Lieferdienste oder Tech-Support aus und vermitteln mit dringlichen Nachrichten den Eindruck, sofort handeln zu müssen.
Diese Nachrichten erwecken oft ein Gefühl der Dringlichkeit und teilen den Nutzern mit, dass ihr Konto kompromittiert worden sei oder dass sie eine Zahlung bestätigen müssten. Wer den Code scannt, gibt damit womöglich unwissentlich seine Zugangsdaten preis.
So schützt man sich vor Quishing
Ein hundertprozentiger Schutz ist schwierig, da QR-Codes auf den ersten Blick harmlos wirken. Dennoch gibt es Maßnahmen, um das Risiko zu minimieren:
- QR-Codes in öffentlichen Bereichen nur scannen, wenn ihre Herkunft zweifelsfrei sicher ist.
- Verdächtige QR-Codes vermeiden – insbesondere, wenn sie als Aufkleber oder überklebt erscheinen.
- Vor dem Scannen überprüfen, ob der QR-Scanner die Ziel-URL anzeigt, und diese kritisch hinterfragen.
- Keine QR-Codes aus unaufgeforderten E-Mails oder Nachrichten scannen.
- Sicherheitssoftware oder spezielle QR-Scanner nutzen, die bösartige Links erkennen können.
Auch wenn QR-Codes das Leben einfacher machen, sollte man ihnen nicht blind vertrauen. Ein kurzer Moment der Prüfung kann verhindern, dass man in eine tückische Falle tappt.
(vp/8com GmbH & Co. KG)
