Achtung bei QR-Codes: „Quishing“ nimmt zu

QR-Codes werden immer beliebter, um Zahlungen zu tätigen, auf Webseiten zuzugreifen oder sogar Speisekarten schneller abzurufen. Doch sie werden zunehmend auch als Köder verwendet, um Microsoft-Anmeldeinformationen und andere Benutzerdaten zu stehlen. In den Monaten September und Oktober hat Abnormal, ein Anbieter von E-Mail-Schutzlösungen, in einer Phishing-Kampagne gegen Kunden des Unternehmens fast 200 Nachrichten identifiziert und blockiert. Mit den Nachrichten wurde versucht, Microsoft-Anmeldedaten zu sammeln.

Neu ist jedoch, dass die Nachrichten QR-Codes enthielten, die angeblich Zugang zu einer Voicemail verschafften. In Wirklichkeit waren sie aber ein Köder, um persönliche Daten zu sammeln. Diese Art von Angriff wurde als „Quishing“ bezeichnet. Nach Angaben von Abnormal wurden die QR-Code-Bilder am selben Tag erstellt, an dem sie verschickt wurden. So konnten sie von Sicherheitssperrlisten nur schwer erkannt werden. Insgesamt wurden sechs Profile verwendet, um die Kampagnennachrichten zu versenden. Darüber hinaus verwendeten die Angreifer kompromittierte E-Mail-Konten und nutzten die legitime Outlook-Infrastruktur des Zielunternehmens für den Versand der Nachrichten.

Die Kampagne hatte bereits eine frühere Version: Bei dieser wurde eine URL hinter einem Bild verwendet, das als Audiodatei erschien. Cybersicherheitsdienste erkannten jedoch diese Taktik und stuften sie als Bedrohung ein. Der Ausweg war dann die Verwendung von QR-Codes in der zweiten Versuchsrunde.

Bereits die Unternehmensvermittlung Better Business Bureau erkannte diese Technik und gab eine Warnung vor der Verwendung von QR-Codes in E-Mail-Angriffen heraus. Denn da QR-Codes vom menschlichen Auge nicht interpretiert werden können, haben sie sich zu einem wirksamen Mittel zur Verschleierung bösartiger Links entwickelt. Erhält der Nutzer eine E-Mail oder sogar eine Nachricht in sozialen Netzwerken oder per SMS, ist die Wahrscheinlichkeit groß, dass er den Code lesen wird. Durch das Scannen mit der Smartphone-Kamera öffnet sich dann ein Link zu einer Phishing-Website. Es dauert anschließend nur wenige Sekunden, bis persönliche Informationen oder Anmeldedaten an die Betrüger weitergegeben werden.

Das Better Business Bureau gibt einige Tipps, wie man Betrügereien mit QR-Codes vermeiden kann:

• Überprüfen Sie die Quelle: Selbst, wenn die Nachricht von einem Bekannten per E-Mail oder über eine Social-Media-Seite kommt, sollten Sie die Person kontaktieren, bevor Sie den QR-Code lesen. Möglicherweise wurden die Anmeldedaten der Person gestohlen.
• Scannen Sie keine QR-Codes, die von Fremden stammen: Auch wenn er erstaunliche Dinge verspricht, sollten Sie nicht auf den Köder hereinfallen.

• Seien Sie vorsichtig bei kurzen Links: Wenn beim Lesen des QR-Codes eine kurze URL angezeigt wird, können Sie oft nicht erkennen, wohin Sie geleitet werden.

• Halten Sie Ausschau nach möglicherweise manipulierten Werbematerialien: Einige Betrüger verändern legitime Anzeigen, indem sie QR-Codes einfügen.

• Installieren Sie einen QR-Code-Reader mit Sicherheitsfunktionen: Einige Antiviren-Unternehmen bieten QR-Code-Leseanwendungen an, die die Sicherheit des jeweiligen Links vor dem Öffnen prüfen.

Warnungen zum Datenschutz

In einem Artikel auf seinem Blog weist Eric Rescorla, Chief Technology Officer des Firefox-Browsers, auf Datenschutzprobleme im Zusammenhang mit QR-Codes hin. Während der Pandemie hat diese Technologie an Popularität gewonnen, da sie beispielsweise das Lesen von Speisekarten ermöglicht, ohne dass man die potenziell kontaminierte Papierversion in die Hand nehmen muss.

Um zu verstehen, wie der QR-Code funktioniert, muss man wissen, wie man den Datenschutz gewährleisten kann. Es handelt sich bei einem QR-Code einfach um eine Möglichkeit, Informationen wie URLs in einem mit der Handykamera lesbaren Format zu kodieren. In den meisten Fällen öffnet sich durch das Scannen automatisch der Browser und führt zur entsprechenden Seite.

Es kann nicht statuiert werden, dass das Problem beim QR-Code liegt. Die Codes sind statische Elemente. Der Fehler liegt eher bei den Webseiten, auf die er verweist und die voller Tracking-Mechanismen sein können, hauptsächlich in Form von Cookies. Im Falle eines QR-Codes, der zum Beispiel für Menüs verwendet wird, kann die Zielwebseite mehr als nur ein Menü sein. So kann sie möglicherweise bereits Bestellungen annehmen und die Verzehrpräferenz speichern. Je nachdem, wie die Webseite aufgebaut ist, kann das Nutzerverhalten über mehrere Restaurants hinweg verfolgt werden, um ein Bild vom Essverhalten der Verbraucher zu erhalten.

Es liegt auf der Hand, dass unser Verhalten im Web schon seit langem mit unterschiedlichen Methoden verfolgt wird. Laut Rescorla gibt es jedoch eine einfache Möglichkeit, sich der möglichen Überwachung dieser Seiten zu entziehen: Wir können die Seiten im privaten Modus des Browsers öffnen, um eine temporäre Sitzung zu erstellen. Dies führt dazu, dass der Browserverlauf und die mit der Sitzung verbundenen Daten, zum Beispiel Cookies, gelöscht werden, wenn die Sitzung geschlossen wird. Laut dem Firefox-Direktor leiten die meisten QR-Codes die Nutzer derzeit nicht zu Websites, die sie verfolgen wollen. Doch es lohnt sich, sich zu schützen – nicht nur, wenn jemand Wert auf Privatsphäre und Sicherheit legt. Zudem weiß man nie, wie lange dieses eher naive Szenario in Bezug auf den Datenschutz und die Verwendung von QR-Codes andauern wird.