QR-Code-Betrügereien nehmen zu. So vermeiden Sie, getäuscht zu werden

Cyberkriminelle nutzen zunehmend bösartige QR-Codes, um Verbraucher zu täuschen.

QR-Codes sieht man heutzutage fast überall. Die quadratischen Barcodes tauchen überall auf: Immobilienanzeigen, Fernsehwerbung und Social-Media-Beiträge, die vermeintlich tolle Angebote für unverzichtbare Artikel anpreisen.

Die Pandemie hat zu einem Anstieg der Verwendung von QR-Codes geführt. Um eine mögliche Übertragung einzudämmen, ersetzten Restaurants physische Menüs, die allen Kunden zur Verfügung standen, durch Online-Versionen, auf die sie über ihr persönliches Telefon zugreifen konnten. Scannen Sie dieses kleine Quadrat und Sie werden herausfinden, was das Besondere am Haus ist.

Cyberkriminelle haben dies schnell bemerkt und beginnen, den unbestreitbaren Komfort der Technologie auszunutzen. Betrüger erstellen ihre eigenen bösartigen QR-Codes, um unwissende Verbraucher dazu zu verleiten, ihre Bank- oder persönlichen Daten preiszugeben.

Denken Sie nach, bevor Sie den QR-Code scannen.

„Jedes Mal, wenn eine neue Technologie auf den Markt kommt, versuchen Cyberkriminelle, einen Weg zu finden, sie auszunutzen“, sagte Angel Grant, Vizepräsident für Sicherheit bei F5, einem Unternehmen für App-Sicherheit. Das gelte insbesondere für Technologien wie QR-Codes, mit denen die Leute zwar vertraut seien, aber möglicherweise nicht wüssten, wie sie funktionieren, sagt sie. „Es ist einfacher, Menschen zu manipulieren, wenn sie es nicht verstehen.“

QR-Codes – die Abkürzung steht für „Quick Response“ – wurden in den 1990er Jahren in Japan erfunden. Sie wurden zunächst von der Automobilindustrie zur Steuerung der Produktion eingesetzt, haben sich aber überall verbreitet. Es sind Websites und Apps aufgetaucht, mit denen Sie Ihre eigenen erstellen können.

Jetzt werden sie von Cyberkriminellen für einen E-Mail-Phishing-Betrug ausgenutzt. Das Scannen der gefälschten QR-Codes hat keinerlei Auswirkungen auf Ihr Telefon und lädt beispielsweise keine Malware im Hintergrund herunter. Sie gelangen jedoch auf betrügerische Websites, die darauf abzielen, an Bankkonto-, Kreditkarten- oder andere persönliche Daten zu gelangen.

Wie bei jedem anderen Phishing-Angriff ist es unmöglich, genau zu wissen, wie oft QR-Codes für böswillige Zwecke verwendet werden. Experten sagen, dass sie immer noch nur einen kleinen Prozentsatz des gesamten Phishings ausmachen, aber dem Better Business Bureau wurden vor allem im vergangenen Jahr zahlreiche Betrügereien mit QR-Code gemeldet.

Zuletzt gab das FBI eine Warnung heraus, in der es Verbrauchern riet, nachzudenken, bevor sie potenziell fragwürdige QR-Codes scannen.

Viele Menschen wissen, dass sie in E-Mails, die angeblich von der Bank stammen, nach Phishing-Links und fragwürdigen Anhängen Ausschau halten müssen. Aber es ist für die meisten Menschen keine Selbstverständlichkeit, zweimal darüber nachzudenken, einen QR-Code mit der Smartphone-Kamera zu scannen.

Ein Screenshot der betrügerischen Website, zu der Fahrer geführt wurden, als sie mit ihren Mobiltelefonen bösartige QR-Code-Aufkleber auf Parkuhren in Austin, Texas, scannten.

Hinter den fast 30 bösartigen QR-Code-Aufklebern, die kürzlich auf Parkuhren in Austin, Texas, gefunden wurden, könnte die Ausnutzung ahnungsloser Autofahrer stecken.

Anstatt jedoch zur autorisierten Website oder App der Stadt weitergeleitet zu werden, wurden Autofahrer, die die betrügerischen Aufkleber gescannt hatten, zu einer gefälschten Website weitergeleitet, auf der ihre Kreditkarteninformationen erfasst wurden.

Die Polizei weiß nicht, wie viele Menschen betrogen wurden. Die Abteilung fordert alle, die glauben, dass ihre Kreditkarteninformationen von der gefälschten Website gestohlen wurden, dazu auf, sich an sie zu wenden.

Austin ist nicht die einzige Stadt, in der es zu gefälschten QR-Code-Betrügereien kommt. Beamte in San Antonio, Texas, etwa 80 Meilen entfernt, gaben eine Warnung heraus, nachdem sie ähnliche Aufkleber entdeckt hatten, die mit einer Website für gefälschte Parkgebühren in Verbindung standen.

QR-Codes bringen Menschen von der physischen Welt in die Online-Welt. „Deshalb ist es sinnvoll, sie sowohl in Betrugsaufklebern als auch in Papier-Junk-Mails zu verwenden“, sagte Brad Haas, Cyber ​​Threat Intelligence-Analyst bei Cofense, einem E-Mail-Sicherheitsunternehmen. Es bringt Leute online, die es noch nicht waren.

Haas sagt, dass betrügerische QR-Codes auch in Phishing-E-Mails und Online-Anzeigen auftauchen, eine Taktik, die ihm Kopfzerbrechen bereitet. „Es gibt wirklich keinen Grund für jemanden, sein Telefon zu zücken und einen QR-Code zu scannen, der in einer E-Mail enthalten ist, die er bereits auf seinem Laptop liest“, sagte Haas. Schließlich ist der Empfänger mit seinem Laptop bereits online. Warum sollte ein legitimer Absender wollen, dass er sich mit einem zweiten Gerät verbindet? Aus diesem Grund sollten Verbraucher jede E-Mail, die einen QR-Code enthält, mit Argwohn betrachten, sagt er.

Dennoch tauchen die gefälschten Codes in Phishing-E-Mails auf, allerdings nicht so häufig wie bewährte Taktiken wie Anhänge mit Viren oder Links zu Betrugswebsites. Cofense hat kürzlich einen Phishing-Betrug entdeckt, der sich an Deutschsprachige richtete und einen QR-Code enthielt, um Mobile-Banking-Nutzer anzulocken.

Ein Screenshot einer Phishing-E-Mail mit einem schädlichen QR-Code, der von Cofense-Forschern entdeckt wurde. Beachten Sie, dass der QR-Code geändert wurde und nicht zu einer schädlichen Website führt.

Hacker verwenden QR-Codes möglicherweise gerne in Phishing-E-Mails, weil sie oft nicht von Sicherheitssoftware erkannt werden und so eine bessere Chance haben, ihre beabsichtigten Ziele zu erreichen als Anhänge oder fehlerhafte Links, sagt Aaron Ansari, Vizepräsident für Cloud-Sicherheit beim Antiviren-Unternehmen Trend Micro.

Auch wenn die Erfolgsquote geringer ist, ist es viel einfacher, Millionen von Phishing-E-Mails zu versenden, als Aufkleber physisch an Parkuhren und Bushaltestellen anzubringen.

Kurz gesagt: QR-Codes sind nur eine weitere Möglichkeit für Cyberkriminelle, an das zu kommen, was sie wollen, und eine weitere Bedrohung, nach der man Ausschau halten muss.

„Heutzutage gibt es so viele Möglichkeiten, kompromittiert zu werden“, sagte Ansari, „aber es braucht nur eine.“

Denken Sie nach, bevor Sie scannen. Seien Sie besonders vorsichtig bei Codes, die an öffentlichen Orten angebracht sind. Schau dich gut um. Ist es ein Aufkleber oder Teil eines größeren Schildes oder Displays? Wenn der Code nicht in den Hintergrund passt, fordern Sie eine Papierkopie des Dokuments an, auf das Sie zugreifen möchten, oder geben Sie die URL manuell ein.

Wenn Sie einen QR-Code scannen, werfen Sie einen genauen Blick auf die Website, zu der Sie geführt wurden, empfiehlt Haas. Sieht es so aus, wie Sie es erwartet haben? Wenn Sie nach Anmelde- oder Bankdaten gefragt werden, die scheinbar nicht benötigt werden, geben Sie diese nicht weiter.

In E-Mails eingebettete Codes sind fast immer eine schlechte Idee. Befolgen Sie den Rat von Haas und lassen Sie diese komplett aus. Das Gleiche gilt für Codes, die Sie in unerwünschter Papier-Werbemail erhalten, beispielsweise wenn Sie Hilfe bei der Schuldenkonsolidierung anbieten, sagt Grant.

Sehen Sie sich die URL des Codes in der Vorschau an. Viele Smartphone-Kameras, einschließlich iPhones mit der neuesten iOS-Version, zeigen Ihnen eine Vorschau der URL eines Codes an, wenn Sie mit dem Scannen beginnen. Wenn die URL seltsam aussieht, möchten Sie möglicherweise fortfahren.

Besser noch: Ansari empfiehlt die Verwendung einer sicheren Scanner-App, die schädliche Links erkennt, bevor Ihr Telefon sie öffnet. Sein Unternehmen Trend Micro bietet ein kostenloses Programm an, ebenso wie einige andere große Antiviren-Unternehmen.

Bleiben Sie aber bei den bekannten Sicherheitsfirmen, sagt er. Schädliche QR-Scan-Apps, die darauf ausgelegt sind, Benutzerinformationen abzugreifen, haben es in der Vergangenheit in die App-Stores geschafft.

Verwenden Sie einen Passwort-Manager.Wie bei allen Arten von Phishing gilt: Auch wenn Sie über einen QR-Code auf eine besonders überzeugende gefälschte Website weitergeleitet werden, erkennt ein Passwort-Manager den Unterschied immer noch und füllt Ihre Passwörter nicht automatisch aus, sagt Haas.