QR-Codes als Sicherheitsfalle: Chester Wisniewski rät, davon die Finger zu lassen

QR-Codes erfreuen sich offensichtlich wachsender Beliebtheit in Verkauf, Marketing und bei Bezahlsystemen

[datensicherheit.de, 30.12.2024] Vermehrt verlocken QR-Codes (QRC) u.a. auf Verpackungen, Plakaten oder sogar in Bars Verbraucher, einfach ihr Smartphone daran zu halten, um über den enthaltenen Link weitere Informationen zu erhalten oder andere Aktionen auszulösen. Diese vermeintliche Leichtigkeit sieht Chester Wisniewski, Sicherheitsexperte bei Sophos, kritisch und rät, trotz vieler Vorteile für Unternehmen und Konsumenten zur Vorsicht und Einzelfallprüfung.

Foto: Sophos

Chester Wisniewski: Ich sehe die Sicherheit von QR-Codes nicht besser werden!

QR-Codes versprechen Bequemlichkeit, Schnelligkeit und Sparsamkeit…

Wisniewski legt hierzu dar: „Der Mensch neigt bekanntlich zur Bequemlichkeit. Warum noch extra den Browser mit dem kleinen Smartphone-Display bemühen – da kommt ein QR-Code doch goldrichtig. Informationen, die auf der Stelle gebraucht werden, sind so schnell zur Hand.“ Diese Vorteile setzten nun immer mehr Unternehmen ein, beispielsweise um Kunden Zusatzinformationen zu Produkten oder deren Nutzung zu bieten. Er warnt eindringlich: „Und wie das immer so ist, sind Cyber-Kriminelle nicht weit, sobald sich eine Technik im Alltag durchgesetzt hat. ,Quishing’ heißt die Betrugsart mit QR-Codes.“ Diesen Trend hat Sophos nach eigenen Angaben in dem Beitrag beschrieben (s.u.).

Indes: QR-Codes erweisen sich offensichtlich wachsender Beliebtheit in Verkauf, Marketing und bei Bezahlsystemen. Wisniewski erläutert, wie es zu dieser Entwicklung kam und inwieweit sie das Kundenerlebnis gefühlt verbessern: „Niemand spricht gern in Computer-Art. Der Vorteil, ein Smartphone für schnelle Informationen oder Aktionen nutzen zu können, ist eine starke Motivation sowohl für die Anbieter als auch die Nutzer von QR-Codes.“ Dies in Kombination mit den ökologischen Vorzügen des Nicht-Ausdruckens von Dokumenten und der Tatsache, dass viele Unternehmen komplexe Tracking-Tokens in die URLs einbauen könnten, trage zur QRC-Verbreitung zusätzlich bei.

QR-Codes bieten durchaus großen Mehrwert – aber Bedenken zur Sicherheit nehmen zu

Während QR-Codes also durchaus einen großen Mehrwert böten, nähmen aber auch die Bedenken zu ihrer Sicherheit zu. Wisniewski führt aus, welche Arten von Betrug oder schadhaften Aktivitäten in den letzten Jahren aufgetaucht sind, welche Nutzer via QR-Codes ins Visier genommen hätten: Jeder könne QR-Codes herstellen und es sei nicht möglich, sie zu authentifizieren. „Es erfordert einen hohen Grad an Vertrauen beim Konsumenten, dass der QR-Code, den er am Parkscheinautomat oder auf dem Kaffeetisch sieht, echt ist!“

Sophos hat demnach von Vorfällen gehört – speziell in denen Zahlungen beteiligt waren – bei denen Betrüger QR-Codes ausgedruckt haben und diese auf echte QR-Codes aufklebten, um die Leute auf eine Phishing-Webseite zu lenken und dort ihre Kreditkarten-Daten und persönliche Informationen abzugreifen.

Kontrolle erforderlich – insbesondere, wenn QR-Codes öffentlich aushängen

Zur Frage, welche Schritte beispielsweise Händler unternehmen könnten, um sicherzustellen, dass die QR-Codes, welche sie in den Geschäften oder online einsetzen, sicher und legitimiert sind, und wie sie ihre Kunden vor potenziellem Betrug oder Phishing-Angriffen schützen, gibt Wisniewski zu bedenken: „Geschäfte, Händler, Gastronomie usw., die QR-Codes nutzen, sollten sie regelmäßig kontrollieren – insbesondere, wenn die QR-Codes öffentlich aushängen!“ Dies werde zu einer größeren Herausforderung bei verteilten Systemen wie etwa Parkscheinautomaten. Konsumenten seien daher gut beraten, keine QR-Codes zu scannen, denen sie nicht wirklich vertrauen könnten und lieber ein anderes Zahlungsmittel mit weniger Risiken verwenden.

Wisniewski betont: „Ich persönlich meide Geldautomaten, die zweifelhafte Tastaturen haben oder sich ersichtlich nicht im Originalzustand befinden – das gleiche könnte man für QR-Sticker anwenden.“ QR-Codes sollten wirklich niemals online genutzt werden, denn die meisten seien nur eine visuelle Form einer URL. Wenn man möchte, dass jemand auf einen Link klickt, dann sollte man auch einen Link benutzen. Es gebe Ausnahmen, aber im Allgemeinen bestätigten sie diese Regel.

Sicherste Weg für Konsumenten: QR-Codes eben nicht scannen

Wisniewski Tipp zu „Red Flags“, vor denen sich Konsumenten in Acht nehmen sollten, wenn sie QR-Codes in der Öffentlichkeit oder auf Produkten scannen, um nicht zum Opfer Cyber-Krimineller zu werden: „QR-Codes übertragen ein Bild in eine Webseiten-Adresse. Wenn der Code im Browser öffnet, sollte man auf die Adressleiste sehen und prüfen, wohin man als Nutzer gelenkt wurde.“

Gefalle dieses Ziel nicht, sei es klug, die betroffene Anwendung zu beenden. Der sicherste Weg für den Konsumenten sei, den QR-Code eben nicht zu scannen. „Stattdessen lieber die Lieblingssuchmaschine nutzen!“ Es existierten jedoch auch Applikationen für mobile Geräte (wie z.B. „Sophos Intercept X“), welche QR-Codes Scanner beinhalteten, „die auf schadhafte Links aufmerksam machen“.

Im Idealfall sollten QR-Codes fest und ersichtlich eingebettet sein und nicht nur als aufgeklebter Sticker vorliegen

Wisniewski wirft zum Abschluss seiner Ausführungen einen Blick in die Zukunft – wie sich die Rolle von QR-Codes im Verkauf und in anderen Branchen weiterentwickeln wird: Ob diese nun mittels neuer Technologien sicherer werden oder ob die Sicherheit eine Herausforderung bleiben wird. „Ich sehe die Sicherheit von QR-Codes nicht besser werden. Sie sind ursprünglich für Maschinen entwickelt worden und nicht dafür, dass Menschen sie im Alltag nutzen.“

Eine QRC-Authentifizierung stelle ein Aufgabe dar, welche sich nicht so simpel lösen lasse. „Im Idealfall sollten QR-Codes in Plakate, Produktverpackung etc. fest und ersichtlich eingebettet sein und nicht nur ein Sticker, der irgendwo draufgepappt wurde.“ Die Verantwortung liege aber durchaus beim Konsumenten: „Wenn ein QR-Code komisch erscheint, lieber die Finger davon lassen und auf eine bewährte, sichere Informationsgewinnung oder Zahlung setzten!“

Weitere Informationen zum Thema:

SOPHIS NEWS, Jörg Schindler, 07.11.2024
Sophos X-Ops / Cybercrime-Trend im Aufwind: Phishing mit QR-Codes

SOPHOS
Chester Wisniewski / Director, Global Field CTO

datensicherheit.de, 06.12.2024
KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch / HR- und IT-bezogene Phishing-E-Mails machen signifikanten Anteil von 48,6 Prozent der weltweit am häufigsten angeklickten Phishing-Typen aus

datensicherheit.de, 26.03.2024
Quishing: QR-Code-Phishing-Angriffe noch immer eine unterschätzte Gefahr / Schutz gegen QR-Code-Phishing durch phishing-resistente MFA für die Konten

datensicherheit.de, 31.01.2024
Quishing-Update: QR-Code-Routing-Angriffe nehmen zu / Sicherheitsforscher von Check Point haben eine neue QRC-Angriffsart entdeckt