QR-Codes bringen externe Web-Adressen komfortabel auf Touchscreens
QR-Codes können verschiedenste Daten speichern, die sich mit dem Smartphone blitzschnell abrufen lassen. Im modernen Alltag werden sie hauptsächlich für Links zu Webadressen verwendet.
Damit gleichen QR-Codes einen entscheidenden Nachteil von Smartphones aus: Das Eintippen von Internetadressen über einen kompakten Touchscreen ist sehr mühsam. QR-Codes einzuscannen und sich automatisch weiterleiten zu lassen, ist dagegen um einiges bequemer. So wie Sprachnachrichten komfortabler sind als lange WhatsApp-Monologe und Sprachbefehle an Siri komfortabler sind als eine Google-Suche.
QR-Codes erleichtern Cyberkriminellen den Betrug über schädliche Websites
Das große Problem von QR-Codes: Der Link, der beim Scannen ausgelesen wird, ist auf den ersten Blick nicht zu erkennen. Dennoch erfolgt die Weiterleitung meistens nur durch einen Fingertipp. Da Cyberkriminelle bereits seit Jahrzehnten gefälschte Websites und schädliche Internetadressen für ihre Zwecke nutzen, machen ihnen QR-Codes daher das illegale Handwerk besonders leicht.
Das FBI warnte bereits 2022 vor zunehmendem Betrug durch QR-Codes. Hierbei erstellen Betrüger üblicherweise QR-Codes, die auf schädliche Websites führen. Deren Ziel ist es häufig, persönliche Daten wie Bankdaten und Passwörter abzugreifen. Platziert werden diese QR-Codes oftmals dort, wo wir sie auch erwarten und deswegen keinen Verdacht schöpfen – an Orten, wie etwa:
- Restaurants, wo QR-Codes Online-Speisekarten etc. aufrufen.
- Veranstaltungsorte, wo QR-Codes den Kauf von Online-Tickets etc. erlauben.
- Parkdecks, wo über QR-Codes der Online-Kauf von Parkscheinen abgewickelt wird.
- Öffentliche Einrichtungen, wo QR-Codes den Zugriff auf öffentliches WLAN oder Info-Websites ermöglichen.
Wer jeden QR-Code ungeprüft einscannt, kann somit schnell unbemerkt auf einer betrügerischen Website landen. Häufig imitieren die gefälschten Websites auch das Aussehen der Website, die Nutzerinnen und Nutzer an der jeweiligen Stelle erwarten würden.
Zwar können die meisten QR-Code-Scanner beim Scannen eine Vorschau der codierten URL anzeigen. Diese Vorschau ist jedoch in vielen Fällen nur umständlich mit weiteren Tipps und Klicks einsehbar. Hinzu kommt, dass schädliche QR-Codes oft dort platziert sind, wo wir schlicht keine Zeit für zusätzliche Handgriffe haben. Zugespitzt formuliert: In QR-Codes enthaltene Links zu überprüfen, verträgt sich nicht mit dem Komfort, den wir von Smartphones gewohnt sind.
So verraten sich betrügerische QR-Codes
- Seien Sie besonders wachsam bei QR-Codes auf Gegenständen, die leicht manipuliert oder verschoben werden können – wie z. B. auf Plakaten, Flyern, Stickern, schwarzen Brettern, Aufstellern, Broschüren, Speisekarten und Tischdekorationen in einem Restaurant etc.
- Seien Sie vorsichtig bei QR-Codes, die sich an ungewöhnlichen Stellen öffentlicher Einrichtungen befinden, wie etwa in Winkeln oder Ecken.
- Auch vor QR-Codes in E-Mails wird generell gewarnt. Diese sind oft ein Zeichen betrügerischer Phishing-Mails.
- QR-Codes auf unerwünschter Post oder auf in der Öffentlichkeit verteilten Flyern sind praktisch immer unseriös.
Die neueste Masche: Echte QR-Codes mit schädlichen überkleben
Da sich von Betrügern platzierte QR-Codes auf diese Weise oft verraten, gehen Cyberkriminelle inzwischen noch einen Schritt weiter. Offizielle QR-Codes werden entweder manipuliert oder komplett überklebt. Diese Manipulationen sind teilweise so professionell ausgeführt, dass sie kaum zu erkennen sind.
Überklebte QR-Codes wurden bereits an folgenden Orten entdeckt:
- in Parkdecks und auf Parkautomaten
- in Restaurants und Cafés
- auf öffentlichen Events
- in öffentlichen Verkehrsmitteln
- auf am Straßenrand abgestellten E-Scootern von gängigen Leihanbietern
- auf öffentlich verteilten Flyern über angebliche lukrative Plattformen zur Investition in Kryptowährungen
Wer sich effektiv vor schädlichen QR-Codes schützen will, sollte sich somit vor dem Öffnen jedes QR-Codes die codierte URL in voller Länge anzeigen lassen und genau überprüfen. Beachten Sie dabei folgende Tipps:
- Stimmt der Name des Links mit dem versprochenen Ziel überein? D. h. führt die Internetadresse, die die Speisekarte von „Sal’s Pizza“ anzeigen soll, auch zu „salspizza.de/speisekarte/“? Falls nicht, brechen Sie den Scan-Vorgang ab.
- Achten Sie auch auf Schreibfehler in der Adresse wie salspiza.de statt www.salspizza.de oder Varianten wie www.salspizza.com oder www.salspizza.info. Entdecken Sie diese, ist der QR-Code höchstwahrscheinlich unseriös.
- Bereits ungewöhnlich lange Internetadressen sollten misstrauisch machen.
- Achten Sie auf Sonderzeichen wie „?“ oder „@“, da diese Internetadressen modifizieren können. Die Adresse www.salspizza.de@weltderwunder.de führt auf weltderwunder.de anstatt auf www.salspizza.de.
- Falls Sie die im QR-Code enthaltene Internetadresse bereits aufgerufen haben: Verlangt die aufgerufene Website verdächtig ausführliche Informationen über Sie (Telefonnummer, Adresse, Bankdaten), ist dies ein übliches Zeichen für eine versuchte Cyberattacke.
- Wurde die codierte URL mit einem URL-Shortener wie bit.ly verkürzt, ist sie mit hoher Wahrscheinlichkeit unseriös.
So funktionieren QR-Codes
Der Begriff „QR-Code“ steht für „Quick Response Code“. QR-Codes stammen ursprünglich aus der japanischen Automobilindustrie und wurden von einem Tochterunternehmen von Toyota entwickelt. Das Ziel war zunächst, Fahrzeuge und Teile während des Produktionsprozesses besser verfolgen zu können. Herkömmliche Strichcodes reichten dafür nicht aus, schon weil das komplexe japanische Schriftsystem mehr Speicherplatz benötigte, als diese zur Verfügung stellen konnten.
Die schwarzen und weißen Quadrate stehen für Nullen und Einsen
Die Daten in einem QR-Code bestehen aus einer Reihe von kleinen Quadraten in einem Raster. Diese sind meistens schwarz-weiß. Jedes kleine Quadrat (schwarz) steht für eine Eins, jede Lücke (weiß) für eine Null. Dadurch ist es möglich, die Zeichen als Binärcode zu verschlüsseln.
Die schwarz-weißen Muster können somit Buchstaben und Zahlen codieren. In den meisten Fällen werden für QR-Codes schwarze Quadrate auf weißem Hintergrund verwendet, um sie möglichst leicht lesbar zu machen. Dies ist jedoch keine Voraussetzung, und QR-Codes können theoretisch jede Farbe oder Form für die dargestellten Nullen und Einsen verwenden.
Jedoch haben nicht alle Teile eines QR-Codes die gleiche Funktion. Zum Beispiel sind die größeren Quadrate in der oberen linken, oberen rechten und unteren linken Ecke Positionsmarkierungen, die dem Lesegerät bei der Ausrichtung helfen. Es ist aber durchaus möglich, QR-Codes von Hand zu entschlüsseln. Wie das funktioniert, zeigt dieses Video:
Quelle: YouTube / brainfaqk
Wie sieht die Zukunft der QR-Codes aus?
Masahiro Hara ist der Teamleiter des ursprünglichen Entwicklungsteams und ist generell als der „Vater des QR-Codes“ bekannt. Er ließ in verschiedenen Interviews subtil durchblicken, dass QR-Codes nie für den öffentlichen Einsatz bestimmt waren. Er selbst sieht ihren zukünftigen Einsatz im medizinischen Bereich. Vorschläge seitens Hara, wie seine Erfindung sicherer gestaltet werden könnte, sind bisher nicht bekannt.
Eine mögliche Lösung für die Sicherheitsprobleme von QR-Codes wäre es, in Zukunft für jede verschlüsselte URL eine digitale Signatur vorauszusetzen. Ist diese nicht hinterlegt, kann der Code nicht gescannt werden. Wer in Zukunft einen QR-Code mit einer URL erstellen will, müsste dies zunächst bei einer Institution beantragen, um eine solche Signatur zu erhalten. URLs, die als Betrugsversuch erkennbar sind, würden während des Überprüfungsvorgangs abgelehnt.
Denkbar wären auch überarbeitete Apps zum Scannen von QR-Codes, die Nutzer und Nutzer auf die Risiken schädlicher QR-Codes hinweisen und mithilfe von KI schädliche Links erkennen und blockieren.
