Achtung! Oder wie sicher sind QR-Codes wirklich?

Bis zum Jahr 2022 sollen Schätzungen zufolge über fünf Milliarden QR-Codes von mobilen Geräten aus gescannt oder aufgerufen werden. Ein QR-Code ist eine weitere Form der kontaktlosen Kommunikation.

Sobald er eingescannt ist, gibt er entweder Informationen weiter oder führt den Benutzer zu anderen Online-Quellen, Websites oder Anwendungen. Nicht zuletzt die Corona-Pandemie hat QR-Codes in letzter Zeit eine weit größere Akzeptanz beschert als bislang. 

Anzeige

QR-Codes findet man häufig in der Werbung, auf Tickets, juristischen Dokumenten oder Formularen in der Gesundheitsbranche sowie Social Media Plattformen wie Facebook, WhatsApp und Snapchat. Zurzeit werden sie auch als Alternative zu Speisekarten in Restaurants verwendet. Und man kann sogar mittels QR-Codes Geld überweisen. In China sind QR-Codes durch Apps wie beispielsweise WeChat inzwischen zu einem neuen de-facto-Standard geworden. Auch in Großbritannien sind sie mittlerweile weit verbreitet. Man findet sie häufig als Ausweis beim Zutritt zu Veranstaltungen oder um Coronavirus-Informationen für den National Health Service (NHS) zu erfassen. Eine ähnliche Entwicklung konnte man in den USA beobachten. Während der Präsidentschaftswahlen wurden beispielsweise Flyer verteilt, mit denen die Bürgerinnen und Bürger anhand von QR-Codes überprüfen konnten, ob sie für die Wahl angemeldet waren. 

Sobald man einen QR-Code scannt, wird man aufgefordert eine externe Website aufzurufen. In der Regel gibt man dort seine Anmeldedaten ein oder sogar persönliche Informationen. So zahlreich, wie die Anwendungen sind leider auch die Sicherheitsrisiken im Zusammenhang mit der QR-Code-Technologie. Hacker machen sich diese Schwachstellen bei Cyberangriffen, aber auch bei klassischen Formen des Online-Betrugs zunutze.

QR-Codes und Cyber-Angriffe 

Für Angreifer sind QR-Codes die perfekte Möglichkeit, mit wenig Aufwand viele potenzielle Opfer zu erreichen. Ein QR-Code-Angriff weist einige Ähnlichkeiten zu einem Phishing-Scam auf, unter modernen Hackern einer der beliebtesten Angriffsvektoren. 

Anzeige

Im Prinzip muss ein Hacker nur denselben Prozess wiederholen, um einen bösartigen QR-Code zu entwickeln. Phishing ist die am weitesten verbreitete und zudem leicht umsetzbare Taktik in Zusammenhang mit QR-Codes. Mittlerweile werden sogar spezielle QR-Code-Phishing-Kits im Darknet angeboten. Sie sind problemlos erhältlich, billig und leicht anzupassen. Hacker imitieren auf diese Weise weltweit bekannte und populäre Marken, um vertrauliche Kundeninformationen abzugreifen.

Für die geschilderten Anwendungsfälle ist es also vergleichsweise simpel einen dem legitimen QR-Code ähnlichen zu erstellen. Ziel ist es, Informationen abzuziehen einschließlich von personenbezogenen Daten (Personally-Identifiable-Information, PII-Daten). Solche mit einem „Call-To-Action“ verbundenen Sicherheitsprobleme sind weit verbreitet. Sobald ein ahnungsloser Benutzer mit einem Code oder Link interagiert, etwa  den Code scannt, wird der Angriff in Gang gesetzt. 

Ein Benutzer geht beispielsweise davon aus, sich bei einer legitimen Website anzumelden und den gewünschten Dienst zu aktivieren. Stattdessen haben Cyberkriminelle aber einen falschen QR-Code innerhalb der Website eingebettet. Darüber lassen sich die Nutzer auf andere, mit Sicherheitslücken behaftete Websites umleiten oder schädliche Downloads initiieren. Auch E-Mails oder SMS-Nachrichten können bösartige QR-Codes enthalten, die potenziell das Gerät und die damit verbundenen Funktionen beeinträchtigen. Zudem sind Hacker dafür bekannt, gefälschte Tracking-Nachrichten mit QR-Codes zu versenden, um legitime Lieferdienste zu imitieren. Schon vor einiger Zeit warnte auch die Volksbank ihre Kunden in ganz Deutschland vor Phishing-Mails mit QR-Code. Folgt ein ahnungsloses Opfer der URL und gibt seine Anmeldedaten ein, versucht der Angreifer Zugriff auf personenbezogene Informationen zu erhalten oder eine Schadsoftware auf dem Gerät zu installieren. Das sind allerdings nicht die einzigen Risiken in Bezug auf QR-Codes. 

Darüber hinaus werden QR-Codes auch im Bereich von Kryptowährungen eingesetzt. Hier ermöglichen es die Codes den Geräten, virtuelle Wallet-Adressen zu finden, um Bitcoins oder andere Kryptowährungen zu übertragen. Betrüger haben sehr schnell eine einfache Sicherheitslücke identifiziert, die für das Opfer extrem kostspielig werden kann. Fast jeder kann einen QR-Code erstellen. Von dort aus könnte man problemlos Geld an die Wallet-Adresse des Angreifers senden, anstatt an die vorgesehene. Leider ist es nicht ganz so einfach, einen bösartigen QR-Code von einem sicheren zu unterscheiden. Die Opfer sind oft komplett ahnungslos.

Schädliche Inhalte in QR-Codes unterzubringen, gelingt mit verhältnismäßig wenig Aufwand. Die inzwischen weit verbreitete Technologie bietet Hackern ausreichend Gelegenheit eigene Codes an bestehende anzupassen, ohne entdeckt zu werden. 

QR-Codes am Arbeitsplatz

Viele Nutzer verwenden ihre persönlichen Geräte, um sich von zuhause aus in das Netzwerk ihrer Firma einzuwählen – durch die flächendeckende Umstellung auf remote Working und Homeoffice ein alltägliches Phänomen. Gleichzeitig gehen damit etliche Probleme für die Gesamtsicherheit der Unternehmensinfrastruktur und sensible Datenbestände einher. Ein Mitarbeiter scannt möglicherweise unabsichtlich einen schädlichen QR-Code und gibt seine Anmeldedaten ahnungslos an einen Hacker weiter. Der kann so auf das Unternehmensnetzwerk zugreifen, weitere Anmeldedaten einsammeln oder Schadsoftware installieren und sensible Anwendungen und Systeme ausspionieren.  

Unternehmen, die QR-Codes verwenden, sollten hinsichtlich möglicher QR-Code-Scams besonders wachsam sein. Vor allem, angesichts der wachsenden Beliebtheit von QR-Codes. Ohnehin gehen viele Benutzer weiterhin mit ihren Mobilgeräten und Anwendungen zu sorglos um. Erschwerend kommt hinzu, dass sich Anzeichen für Phishing-Scams auf mobilen Endgeräten sehr viel schwerer zu erkennen sind. 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Wie verhindert man QR-Code-Angriffe?

Zunächst ist es wichtig, mehr Bewusstsein für die Problematik als solche zu schaffen. Sobald Benutzer über die Gefahren eines bösartigen QR-Codes Bescheid wissen und die Art der Angriffe besser verstehen, lassen diese sich deutlich verringern. Wer einen Code über ein mobiles Gerät scannt, sollte den URL-Link in der Benachrichtigung überprüfen. Sollte der Link verdächtig oder anders als erwartet aussehen, sollte man die Anwendung sofort schließen. Wichtig ist, dass Benutzer bei QR-Codes mit derselben Vorsicht vorgehen, wie bei einem potenziellen Phishing-Link. Allerdings kann ein Angreifer praktisch jede URL so gestalten, dass sie zu einem QR-Code passt und umgekehrt. Es ist unter Umständen extrem schwierig, eine Fälschung von einem echten QR-Code zu unterscheiden. Selbst geschulte Fachleute sind davor nicht gefeit. Man sollte zusätzlich eine mobile Bedrohungsabwehr auf allen Endpunkten implementieren, um Benutzer vor der Interaktion mit bösartigen Websites, Apps oder Netzwerken zu schützen. Firmen sollten mobilen Endgeräten die gleiche Aufmerksamkeit zuteilwerden lassen wie allen anderen Systemen auch. Erst recht, wenn sich eine Vielzahl von Geräten außerhalb des traditionellen Sicherheitsperimeters befindet. 

An dieser Situation wird sich so schnell nichts ändern. Auch daran nicht, dass private und berufliche Daten und Informationen auf ein und demselben Gerät koexistieren. Genau das macht sie für Angreifer so attraktiv. Unter diesen Voraussetzungen werden QR-Code-Angriffe uns mit ziemlicher Sicherheit noch eine Weile erhalten bleiben.

Sascha Spangenberg, Lookout, https://www.lookout.com/

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.