Das Scannen dieses QR-Codes könnte gefährlicher sein, als Sie denken

April 13, 2022
ImVerschiedenes

QR-Codes sind genauso gefährlich wie bösartige Links in E-Mails.
Diese Codes enthalten Links, mit denen Sie Apps öffnen, Telefonanrufe starten, Ihren Standort teilen und vieles mehr können.
Schützen Sie sich, indem Sie QR-Codes vermeiden und stattdessen einen Link verwenden.

Eine Café-Schaufensterfront mit einem auf weißem Papier gedruckten QR-Code, der im Schaufenster klebt. — Rebecca Hausner / Unsplash

Anstatt mit bloßen Händen eine verdreckte Restaurantkarte aufzuheben, haben wir uns an die Hygiene von QR-Codes gewöhnt. Aber diese können etwas schmutziger und viel gefährlicher sein, als Sie vielleicht denken.

2015 ein deutscher Ketchup-Liebhaber den QR-Code auf ihrer Heinz-Flasche gescannt und wurde direkt auf eine Pornoseite geschickt. Das könnte peinlich sein, aber das blinde Scannen von QR-Codes hat schlimmere Folgen. Laut Passwort-Manager-Dienst 1Password, QR-Codes können Telefonanrufe auslösen, Ihren Standort verraten, einen Telefonanruf starten, der Ihre Anrufer-ID preisgibt, und vieles mehr. Was können wir also dagegen tun?

„Wir sind alle daran gewöhnt, einen QR-Code zu scannen, um ein Menü zu durchsuchen oder sogar unsere Rechnungen zu bezahlen, und Cyberkriminelle nutzen dies jetzt durch die Verwendung bösartiger QR-Codes.“

Craig Lurey, Experte für Cybersicherheit und Mitbegründer von Keeper Security, gegenüber Lifewire per E-Mail. „Was also wie ein Code zum Bezahlen einer Parkuhr aussehen mag, und die Seite wird unglaublich seriös aussehen, Sie geben Ihre Kreditkartendaten direkt in die Datenbank eines Diebes ein.“

Schlechte Verbindungen

Ein QR-Code ist nur eine Verknüpfung zu einem Link, der von der Kamera Ihres Telefons gelesen und dann dekodiert werden kann. Wir alle wurden darauf trainiert, niemals auf einen Link in einer E-Mail zu klicken, selbst wenn er echt aussieht. Aber QR-Code-Links sind genauso gefährlich und haben das zusätzliche Problem, dass Sie nicht sehen können, wohin sie führen, bis Sie sie scannen.

Wenn wir an Links denken, denken wir an URLs, die uns zu Websites führen. Und im Fall des Heinz-Ketchup-Porno-Hacks war das das Problem – Heinz ließ den Domainnamen verfallen, und jemand anderes kaufte ihn und lud ihn dann mit schmutzigen Bildern. URLs sind gefährlich, wie Lureys Parkuhr-Phishing-Betrug zeigt, aber Links können noch viel mehr.

„Eines der größten Probleme ist, dass QR-Links zu verkürzten URLs im Gegensatz zu Websites selten den Firmennamen identifizieren“, Monti Knoten, ehemaliger Kommandeur der 67. Cyberspace Operations Group der USAF, gegenüber Lifewire per E-Mail. „Eine Person klickt darauf und nimmt an, dass es ein Restaurantmenü, eine Konferenzagenda oder sogar einen Wohltätigkeitslink enthält, und es könnte sehr gut eine gefälschte Website oder ein bösartiger Link sein, der Code auf Ihren Computer oder Ihr Handy herunterlädt Gerät."

Auf unseren Telefonen können Links Apps auslösen. In der Karten-App öffnet sich beispielsweise ein Google Maps-Link. Links können auch Telefonanrufe auslösen, Kontakte zu Ihrem Adressbuch hinzufügen (und dadurch zukünftige Anrufe und E-Mails legitim erscheinen lassen), sie können Ihren Standort teilen und vieles mehr.

Ein ausgeklügelter Betrug besteht darin, dass ein Taugenichts einen bestehenden, legitimen QR-Code modifiziert und diesen verwendet, um Opfer umzuleiten. Inserent Robert Barrows hat eine Geschichte über seinen Video Enhanced Gravemarker geteilt.

„Mir wurde klar, dass es mehrere Probleme mit QR-Codes auf Grabsteinen geben könnte“, sagte Barrows Lifewire per E-Mail. „Was passiert, wenn die Tinte auf dem QR-Code mit der Zeit zerfällt? Werden Sie am Ende auf eine völlig andere Website verlinken? Was passiert, wenn jemand den QR-Code mit einem Marker verändert?"

Dasselbe könnte mit Werbeplakaten, Speisekarten oder einem beliebigen QR-Code passieren.

Jemand scannt mit einem Smartphone einen QR-Code für die Speisekarte eines Restaurants. — LeoPatrizi/Getty Images

Sich schützen

Schritt eins, um sich selbst zu schützen, ist, sich dessen bewusst zu sein. Scannen Sie niemals einen QR-Code, wenn Sie nicht sicher sind, dass er sicher ist. Was wirklich bedeutet, scannen Sie niemals einen QR-Code.

Wenn Sie jedoch scannen müssen, um in ein Restaurant oder eine Bar einzuchecken oder eine Speisekarte anzuzeigen, stellen Sie zunächst sicher, dass der Code nicht manipuliert oder mit einem Aufkleber eines anderen QR-Codes bedeckt wurde. Ein Tipp ist, das automatische Scannen von QR-Codes in den Einstellungen Ihres Telefons nach Möglichkeit auszuschalten. Aber wirklich, der beste Schutz ist, vorsichtig zu sein.

„Wie bei potenziellen Phishing-Links lautet die Empfehlung, wenn möglich, direkt auf die Website des Anbieters zu gehen, um die gesuchten Informationen abzurufen.“ David Cundiff, CISO des Cybersicherheitsunternehmens Cyvatar, teilte Lifewire per E-Mail mit. „In den meisten Fällen werden die Informationen im Web gehostet und sind irgendwo direkt auf der Website des Anbieters zugänglich.“

Wenn der Link nicht verfügbar ist, scannen Sie ihn nicht. Es ist viel weniger bequem, aber nicht so unbequem, als sich tage- oder wochenlang mit den Folgen eines bösartigen Links zu befassen.