Cyberkriminalität: Nach dem Phishing kommt das Quishing

Die praktischen QR-Codes sind ein Sicherheitsrisiko QR-Codes sind heute überall zu finden: Auf Rechnungen, zum Bezahlen mit Twint, in E-Mails und klassischen Briefen als Schlüssel für weitere Informationen, auf Werbebotschaften aller Art, bei Parkuhren oder in Restaurants zum Aufruf der Speisekarte. Genau diese Allgegenwärtigkeit und Alltäglichkeit der QR-Codes machen sie zum Sicherheitsrisiko.

QR-Codes können leicht gefälscht werden QR-Codes führen oft zu Webseiten: Wenn man den QR-Code scannt, wird eine Webadresse angezeigt. Die dazugehörige Webseite kann betrügerisch sein, was nicht auf den ersten Blick ersichtlich ist. Das hilft den Cyberkriminellen. Denn einen QR-Code zu erstellen, ist nicht kompliziert. Die Betrüger können einen QR-Code, der auf eine gefälschte Webseite führt, beliebig einsetzen: beispielsweise in einer gefälschten E-Mail eines Hotels, in einer Fake-Online-Werbung auf sozialen Medien oder in Spam-Mails aller Art. Cyberkriminelle überkleben QR-Codes Cyberkriminelle erdreisten sich auch, QR-Codes physisch zu fälschen. Mit den gefälschten QR-Codes werden dann beispielsweise Parkuhren oder Plakate einfach überklebt. Dem Bundesamt für Cyberkriminalität BACS wurden schon verschiedene Fälle gemeldet, bei denen die Bezahlung von Parkgebühren bei Betrügern gelandet ist. Auch überklebte QR-Codes in Restaurants wurden bereits gemeldet. In diesem Fall ging der Link auf eine angebliche WLAN-Anmeldung. Daraufhin erschien eine Webseite auf welcher man seine Daten angeben musste. Mit der Übermittlung dieser Daten wurde dann statt eines WLAN-Zugangs ein ungewolltes Abonnement abgeschlossen. Nichts herunterladen und keine Daten eingeben Das Ziel der QR-Code-Betrüger ist immer dasselbe: Potenzielle Opfer sollen dazu gebracht werden, etwas herunterzuladen, das die Sicherheit ihrer Konten oder Geräte gefährdet. Oder sie sollen dazu gebracht werden, Anmeldedaten einzugeben, die dann direkt an die Hacker weitergeleitet werden. Dies höchstwahrscheinlich über eine gefälschte Website, die so eingerichtet ist, dass sie echt und vertrauenswürdig aussieht. Sechs Tipps des Bundesamts für Cyberkriminalität BACS

1. Man verwende zum Scannen von QR-Codes eine zuverlässige und als sicher anerkannte App! Der Vorteil dabei ist, dass das Gerät einen auffordert, die Aktion zu bestätigen, bevor der im QR-Code enthaltene Code ausgeführt wird. Sowohl bei Apple als auch bei Android kann auch die Kamera QR-Codes erkennen.

2. Man überprüfe alle Angaben! Nach dem Scannen und vor dem Ausführen wird bei den meisten Scannern eingeblendet, was für eine Aktion ausgeführt wird, respektive auf welche Seite verlinkt wird. Man überprüfe all diese Angaben.

4. Man betrachte und berühre jeden physischen öffentlichen QR-Code, bevor man ihn scann! Damit lässt sich sehen, ob es sich nicht um einen Aufkleber handelt, der auf dem Original angebracht ist.

5. Wenn man einen QR-Code scannt, der etwas Bösartiges enthält, benachrichtige man sofort den Besitzer des Ortes, wo man den gefälschten QR-Code entdeckt hat: Beispielsweise die Zeitschrift, den Urheber des Plakats, den Parkplatzbetreiber oder den Website-Inhaber.

6. Man lasse sich nie unter Druck setzen: Betrüger versuchen in der Regel, ein Gefühl der Dringlichkeit zu suggerieren: «Scannen Sie diesen QR-Code, um Ihre Identität zu überprüfen, um die Löschung Ihres Kontos zu verhindern oder um ein zeitlich begrenztes Angebot zu nutzen». Man lasse sich nie unter Druck setzen. Man nehme sich Zeit, die Geschichte zu überprüfen.