Betrüger machen sich zunehmend die Beliebtheit von QR Codes zunutze und versuchen, mit manipulierten Codes Daten oder Geld zu stehlen. Denso erfand vor genau 30 Jahren den QR Code und weiß, wie Nutzer sich heute bestmöglich schützen können.
Cyberkriminelle haben eine neue Betrugsmethode entwickelt: Mit manipulierten QR-Codes locken sie auf gefälschte Internetseiten, wollen so Geld stehlen, persönliche Daten wie Bankdaten oder Passwörter abgreifen oder Trojaner installieren. Dazu überkleben sie QR Codes von seriösen Anbietern, verschicken gefälschte Bank- oder Behördenbriefe und verteilen gefälschte Strafzettel. Der Name der Betrugsmasche: „Quishing“, ein Kofferwort aus „QR“ und „Phishing“. Darunter versteht man das Phishing mit QR-Codes, das sich immer stärker verbreitet, seit die Nutzung von QR Codes aufgrund der Corona-Maßnahmen während der Pandemie rasant gestiegen ist. Einige Menschen sind bei der Verwendung von QR Codes nun verunsichert.
„Dafür gibt es aber eigentlich gar keinen Grund“, sagt Thomas Kurpjuweit, Technical Product Engineer bei Denso Wave Europe, Teil der Toyota Gruppe. „Die Technologie hinter dem QR Code ist sicher. Wie beim herkömmlichen Phishing per E-Mail setzen Betrüger allerdings auf die Sorglosigkeit der Nutzer, die aus Gutgläubigkeit die im QR Code codierten Links öffnen, ohne diese vorher zu prüfen, oder der Quelle des QR Codes blind vertrauen. Dieses Risiko besteht jedoch bei jeder Aktivität im Internet und auch bei jedem anderen 2-dimensionalen Code, beispielsweise bei Data-Matrix-Codes. Wer ein paar einfache Sicherheitshinweise beachtet, kann einen QR Code problemlos sicher nutzen.“
Als Erfinder des QR Codes empfiehlt Denso die folgenden drei Schritte, um sich wirksam vor Betrugsmaschen zu schützen:
Den QR Code selbst bzw. das Trägermedium kritisch prüfen
Die nachträgliche Manipulation eines QR Codes ist technisch nicht möglich. Betrüger müssen also einen eigenen Code neu erstellen und diesen an Stellen anbringen, die auf den ersten Blick vertrauenswürdig wirken. Nutzer sollten also die Beschaffenheit eines QR Codes und sein Trägermedium genau prüfen: Ist der QR Code zum Beispiel nur aufgeklebt oder überklebt sogar einen anderen Code, ist Vorsicht geboten. Kommt der QR Code im Rahmen einer Zahlungsaufforderung – zum Beispiel von der Bank oder dem Finanzamt –, sollte auch dieser Brief genau geprüft werden: Oft nutzen Betrüger beispielsweise eine falsche Absenderadresse oder inkorrekte Behördenbezeichnungen.
Die richtige Scanner-App mit Sicherheitsabfrage wählen
Nutzer sollten bei der Wahl ihrer Scanner-App darauf achten, dass sie eine Sicherheitsabfrage vornimmt, bevor sie den gescannten Code öffnet. Der Nutzer bekommt hierbei die im QR Code gespeicherten Daten und die URL des hinterlegten Links angezeigt und wird explizit gefragt, ob dieser geöffnet werden soll. Die meisten seriösen QR Code Scanner verfügen über diese Schutzfunktion, doch manche Apps überspringen diesen Schritt, da es schneller geht und damit bequemer für den Nutzer ist. Ist ein manipulierte Link jedoch erst einmal geöffnet, ist der Schaden meist schon angerichtet.
Den weiterführenden Link kontrollieren
Es dauert nur einen Augenblick, kann aber vor größerem Schaden bewahren: Bevor Nutzer ihrer Scanner-Software grünes Licht für das Öffnen des im QR Code hinterlegten Links geben, sollten sie noch einmal kritisch die URL prüfen. Gefälschte Websites erkennt man zum Beispiel an alternativen Schreibweisen in der URL, die Betrüger nur minimal abändern.
Das zeigt: Der verantwortungsvolle und sichere Umgang mit QR Codes zum Schutz vor Betrügern ist grundsätzlich unkompliziert. Er ist inzwischen ein wichtiger Bestandteil der Medienkompetenz im digitalen Zeitalter, insbesondere da der QR Code sich fest in Alltag und Berufsleben etabliert hat.
Wissenswertes zum QR-Code
Wer hat den QR-Code erfunden?
Der QR-Code wurde 1994 von Masahiro Hara und seinem Team bei der japanischen Firma Denso Wave entwickelt. Ursprünglich wurde er für die Nachverfolgung von Bauteilen in der Automobilproduktion bei Toyota konzipiert.
Was bedeutet QR?
Der Name “QR” steht für “Quick Response” (schnelle Antwort), da der Code schnell gelesen werden kann und eine große Datenmenge speichern kann – deutlich mehr als der traditionelle Strichcode.
Wie viele Daten kann ein QR-Code maximal speichern?
Ein QR-Code kann bis zu 4.296 alphanumerische Zeichen oder 7.089 numerische Zeichen speichern, deutlich mehr als ein herkömmlicher Barcode.
Warum haben QR-Codes drei kleine Quadrate in den Ecken?
Diese drei Quadrate in den Ecken sind Positionsmarkierungen (Finder Pattern). Sie helfen dem Scanner, die richtige Orientierung des Codes zu erkennen, sodass er auch dann gelesen werden kann, wenn er gedreht oder aus einem Winkel gescannt wird.
Warum können QR-Codes auch dann noch funktionieren, wenn sie teilweise beschädigt sind?
QR-Codes enthalten eine Fehlerkorrektur (Error Correction), die bis zu 30% Beschädigung ausgleichen kann. Dies wird durch redundante Datenspeicherung erreicht.
Können QR-Codes farbig sein?
Ja, QR-Codes können in verschiedenen Farben erstellt werden, solange der Kontrast zwischen Code und Hintergrund stark genug ist. Üblich sind dunkle Codes auf hellem Grund.
Können QR-Codes auch ein Logo oder Bild enthalten?
Ja, dank der Fehlerkorrektur kann man in der Mitte eines QR-Codes ein kleines Logo platzieren, solange nicht mehr als 30% des Codes verändert werden.
Was ist der Unterschied zwischen einem Barcode und einem QR-Code?
Ein Barcode kann nur horizontal gelesen werden und speichert maximal 20 Zeichen, während ein QR-Code in beide Richtungen (2D) gelesen werden kann und über 4.000 Zeichen speichern kann.
(lb/Denso)