Im Februar 2025 wurde mehrfach u.a. aus Salzburg berichtet, dass die Einfachheit von QR-Codes auch zunehmend von Betrügern entdeckt und ausgenutzt wird. Mein Kollege Dr. Markus Ermes ist bereits in 2024 auf diese Angriffsvariante eingegangen, wie seinem Beitrag unter https://www.comconsult.com/finanzieller-betrug-man-in-the-middle-quishing/ zu entnehmen ist.
Durch QR-Codes kann auf Informationen schnell zugegriffen werden. Sie werden mittlerweile immer häufiger verwendet – sei es um Busfahrpläne in Echtzeit zu verfolgen, Speisekarten in Restaurants einzulesen oder um über ein Wahlplakat direkt zu dem Wahlprogramm der Partei zu gelangen. Es werden sogar WLAN-Zugangsdaten oder auch Social-Media-Accounts in QR-Codes verlinkt. Es geht schnell und einfach – Handy rausholen, Kamera öffnen, einscannen, Link öffnen und schon werden alle Bankdaten eingelesen oder ein Virus heruntergeladen.
„Quishing“
Diese einfache Nutzung von QR-Codes wird für Betrüger immer attraktiver. Wir sprechen bei Missbrauch von QR-Codes vom sogenannten „Quishing“. Quishing funktioniert analog zum Phishing. Nur dass man hier nicht direkt auf einen virenbehafteten Link oder eine Datei in einer SMS-Nachricht oder E-Mail klicken muss, sondern zuerst einen QR-Code einscannt und ebenfalls auf die entsprechende Hacking-Seite umgeleitet wird. Betrüger verwenden ihre kriminellen QR-Codes in alltäglichen Situationen. Beispielsweise hängen die als Falle genutzten QR-Codes an Parkscheinautomaten, wie es in Salzburg der Fall war, oder auch an Lade- oder Busstationen. Sie leiten auf Seiten um, die persönliche und sensible Daten wie Konto- und Bankdaten abfragen und auslesen sollen. Im Kontext von Parkscheinautomaten wird behauptet, dass der Schein über den Code online bezahlt werden kann. Dazu werden die Kontodaten zum Bezahlen abgefragt und gespeichert. Doch kann auch sein, dass beim Öffnen des entsprechenden Links sofort sensible Daten abgefragt und heruntergeladen werden oder ein Virus downgeloadet wird.
Multi-URL-QR-Code
Mittlerweile gibt es neben einfachen QR-Codes auch Multi-URL-QR-Codes. Diese sind nicht nur mit einem Link verbunden, sondern mit einer begrenzten Anzahl von Links jeder Art (Websites, Fotos, Accounts in sozialen Medien, …). Dadurch muss nicht zu jedem Link ein neuer individueller Code erstellt werden, was platzsparend ist, zum Beispiel auf Werbeplakaten. Diese Eigenschaft kann dazu genutzt werden, um Handynummern sowie Instagram- und Facebook-Accounts in einem weiterzugeben. Unternehmen können diese Codes verwenden, um ihre Website in mehreren Sprachen anzubieten.
Der Multi-URL-QR-Code wird ganz normal eingescannt und öffnet je nach Gerät den Link oder fragt die scannende Person, welcher Link geöffnet werden soll. Diese Codes können ebenfalls von Betrügern verwendet werden, um verschiedene Daten abzurufen. Je nach Link werden Bankdaten oder Benutzerkonten ausgelesen oder eben ein Virus auf das Gerät geladen.
Wie kann ich mich dagegen schützen?
Bei Bezahlvorgängen wie bei Parkscheinautomaten oder Ladestationen gibt es meistens vom Anbieter selbst eine App. Will man online zahlen, sollte das über diese und nicht über eine Website geschehen. Dazu wird nach dem Einscannen eines QR-Codes immer gefragt, ob der Link geöffnet werden soll. Hierbei sollte immer überprüft werden, ob die Linkbezeichnung zum Sachverhalt passt. Mit QR-Codes muss, wie auch bei Links, aufmerksam und vorsichtig umgegangen werden. Sie bieten eine leichte Angriffsmöglichkeit, auf die man durch Unaufmerksamkeit schnell hereinfallen kann.
Quellen
- https://qr.io/blog/qr-code-for-multiple-links/
- https://www.qrcode-tiger.com/how-does-a-multi-url-qr-code-works-and-can-benefit-your-business-smart-qr-code
- https://www.salzburg24.at/news/salzburg/stadt/warnung-vor-dreistem-betrug-gefaelschte-qr-codes-an-parkscheinautomaten-174160525
- https://www.mdr.de/ratgeber/digitales/warnung-betrug-quishing-156.html
Kontakt
ComConsult GmbH
Pascalstraße 27
DE-52076 Aachen
Telefon: 02408/951-0
Fax: 02408/951-200
E-Mail: info@comconsult.com
