Sicherer Umgang mit QR-Codes

Welche Gefahr geht von QR-Codes aus?

Wir kennen sie alle, die kleinen Quadrate mit wilden Kanten und Ecken, schnell mit dem Smartphone abgescannt sind wir rasch auf der hinterlegten Website, haben Kontaktdaten im Adressbuch gespeichert oder sind direkt mit dem WLAN verbunden. 

Spätestens seit der Einführung des Corona-Test-Managements sind sie nicht mehr weg zu denken. Doch welche Risiken birgt die Quick-Response-Technologie (QR-Codes)? Und, viel wichtiger, wie können wir uns schützen?

Die Gefahr ist ganz klar: Missbrauch der Codes, denen der User vertraut  (z. B. Werbeplakat, Speisekarten im Restaurant, Infotafel im Museum usw.) Der ursprüngliche Code wird überklebt, mit einem Code der den User auf eine gefälschte Website führt oder ihn zum Download einer App auffordert. 

Die Türen für Quiching und QRLjacking sind geöffnet.

Was ist das und wie funktioniert das?

Quiching:

Ein auf QR-Code basierender Phishing-Angriff. Der QR-Code wird verwendet, um das Opfer auf eine Phishing-Seite zu locken, welche dafür erstellt wurde, um persönliche Daten, Anmelde-Informationen, oder andere vertrauliche Daten des Opfers zu stehlen. 

QRLjacking:

Ein Quick-Response-Code-Login (QRL) wird häufig als Alternative zu passwortbasierten Authentifizierungsverfahren verwendet. Sie versetzt die Nutzer in die Lage, sich bei Konten anzumelden, indem sie einen QR-Code scannen. Der QR-Code wird mit den Zugangsdaten des Nutzers verschlüsselt. Bei einem QRLjacking-Angriff verleiten Hacker ahnungslose Nutzer dazu, einen böswillig konstruierten QRL anstelle des echten zu scannen. Sobald der QRL gescannt wurde, wird der jeweilige Account kompromittiert, wodurch der Hacker die vollständige Kontrolle über den Account übernehmen kann – letztendlich auch Zahlungsfunktionen des mobilen Geräts missbrauchen kann.