QR-Codes lassen sich gefahrlos scannen. Der Code selbst ist nur ein codierter Link, und ihn zu öffnen ist nicht gefährlicher, als dieselbe Webadresse von Hand einzutippen. Das eigentliche Risiko liegt darin, wohin der Code Sie schickt - und genau dort operieren Angreifer. Ein bösartiger QR-Code kann auf eine gefälschte Login-Seite zeigen, die gebaut wurde, um Ihr Passwort zu stehlen, oder auf einen Download, der Sie bittet, etwas Schädliches zu installieren. Die ehrliche Antwort auf "sind QR-Codes sicher" lautet also: Der Scan ist sicher, das Ziel ist das, was Sie prüfen müssen.
Der Angriff hat inzwischen einen Namen - Quishing, eine Verschmelzung von "QR" und "Phishing" - und er ist gewachsen, weil er zwei Verteidigungen auf einmal umgeht. Ein QR-Code verbirgt sein Ziel, bis Sie gescannt haben, sodass der alte Rat, einen Link vor dem Anklicken zu prüfen, schwerer zu befolgen ist. Und weil ein Code ein Bild ist, schlüpft er an vielen E-Mail-Filtern vorbei, die nur Text und Links lesen. Behörden und Sicherheitsforscher haben den Anstieg markiert, und die Technik taucht inzwischen überall auf, von gefälschten Parkuhren-Schildern bis zu Rechnungen.
Ich betrachte das von einem Compliance-Platz aus, wo die Frage meist lautet: "Können wir einen QR-Code auf etwas Kundenseitiges setzen, ohne Risiko zu schaffen?" Die Antwort ist ja, mit Gewohnheiten. Dieser Leitfaden behandelt, wie Quishing funktioniert, wie man einen Code liest, bevor man ihm vertraut, und was zu tun ist, wenn man bereits einen schlechten gescannt hat. Wenn Sie Codes erstellen, statt sie zu scannen, ist wie man einen QR-Code erstellt der Ausgangspunkt.
Wie Quishing funktioniert#
Ein Quishing-Angriff hat dieselbe Anatomie wie jeder Phishing-Versuch, nur mit dem Link gegen einen Code getauscht. Die Schritte zu verstehen macht die Warnzeichen offensichtlich.
Der Angreifer erzeugt einen QR-Code, der zu einem betrügerischen Ziel auflöst - einem gefälschten Login-Portal, einer Zahlungsseite oder einer Malware-Aufforderung. Er platziert ihn dort, wo Menschen ohne nachzudenken scannen: eine E-Mail, die so aussieht, als käme sie von der IT oder einer Bank, ein Aufkleber, der über einem echten Code auf einem Plakat oder einer Parkuhr klebt, ein Flyer oder ein unerwartetes Paket. Das Opfer scannt mit seinem Telefon, sieht eine Seite, die etwas Vertrautes nachahmt, und gibt Zugangsdaten oder Kartendaten ein. Die Daten gehen an den Angreifer.
Was es wirksam macht, ist die Verschleierung. Bei einem normalen Phishing-Link kann eine vorsichtige Person zuerst darüberfahren und die URL lesen. Ein QR-Code zeigt Ihnen nichts, bis Sie sich bereits zum Scannen verpflichtet haben, und auf einem kleinen Bildschirm ist die Adressleiste leicht zu ignorieren. Kasperskys Aufschlüsselung von Quishing macht denselben Punkt: Das verborgene Ziel ist der ganze Vorteil. Der verwandte serverseitige Trick, der es erlaubt, jeden Redirect zu einer bösartigen Seite umzubiegen, ist Gegenstand von Open-Redirect-Schwachstellen, und es ist wert zu wissen, dass die beiden oft zusammenarbeiten.
Warnzeichen eines bösartigen QR-Codes#
Sie können die meisten Quishing-Versuche vor jedem Schaden abfangen, indem Sie den Kontext und die Vorschau zusammen lesen. Ein paar Signale erledigen die meiste Arbeit.
- Sie haben ihn nicht erwartet. Ein Code, der unaufgefordert ankommt - in einer E-Mail, einer SMS, einem Poststück oder einem gelieferten Paket, das Sie nicht bestellt haben - verdient Misstrauen vor allem anderen.
- Es ist ein Aufkleber. Ein physischer Code, der über bestehendem Bildmaterial aufgeklebt aussieht, besonders auf Parkuhren, Plakaten und Speisekarten, ist der mit Abstand häufigste Trick in freier Wildbahn.
- Er erzeugt Dringlichkeit. Formulierungen wie "sofort scannen, um eine Sperrung zu vermeiden" oder "jetzt verifizieren" sind darauf ausgelegt, Sie über den Moment hinwegzudrängen, in dem Sie normalerweise prüfen würden.
- Die Vorschau sieht falsch aus. Nach dem Scannen zeigen die meisten Telefone die URL an, bevor sie sie öffnen. Schreibfehler, eine unbekannte Domain, eine Domain, die nicht zur Marke passt, oder ein Shortener, den Sie nicht auflösen können, sind alles Gründe zum Anhalten.
- Er verlangt sofort Zugangsdaten oder Zahlung. Ein legitimes Ziel bittet Sie selten, sich einzuloggen oder zu zahlen, bevor es Ihnen irgendetwas zeigt. Ein gefälschtes führt damit an.
Die Leitlinien der US-amerikanischen Federal Trade Commission und der Rat des britischen NCSC zu verdächtigen Nachrichten laufen beide auf denselben Instinkt hinaus: Wenn sich der Code und sein Kontext nicht beide stimmig anfühlen, reagieren Sie nicht auf das, was er öffnet.
Wie man QR-Codes sicher scannt#
Sicheres Scannen ist ein kurzes Set von Gewohnheiten, keine spezielle App. Keine davon bremst Sie nennenswert, sobald sie zur Routine geworden ist.
- Verwenden Sie die eingebaute Kamera Ihres Telefons oder einen Scanner, der die URL in einer Vorschau anzeigt. Lesen Sie diese Vorschau, bevor Sie sie öffnen, jedes Mal.
- Prüfen Sie die Domain gegen denjenigen, von dem Sie glauben, dass er den Code gesendet hat. Die Marke vorne in der Adresse sollte zur Marke auf dem Plakat, in der E-Mail oder auf der Speisekarte passen.
- Seien Sie vorsichtig bei Codes, die zu einem Shortener auflösen, den Sie nicht aufklappen können - und umgekehrt fällt Vertrauen leichter, wenn ein Code auf eine klare, gebrandete Domain zeigt, die Sie wiedererkennen.
- Geben Sie niemals Passwörter, Kartennummern oder Einmalcodes auf einer Seite ein, die Sie nur erreicht haben, weil ein QR-Code es Ihnen gesagt hat. Navigieren Sie stattdessen selbst zur Seite.
Dieser dritte Punkt schneidet in beide Richtungen, und hier können die Menschen, die Codes erstellen, den Menschen helfen, die sie scannen. Einem gebrandeten Kurzlink auf einer Domain, die ein Kunde wiedererkennt, ist weit leichter zu vertrauen als einem undurchsichtigen, was mit ein Grund ist, warum das Branding eines Codes ein Sicherheitsmerkmal und nicht nur ein gestalterisches ist - siehe Design gebrandeter QR-Codes.
Wenn Sie kundenseitige QR-Codes veröffentlichen und wollen, dass sie vertrauenswürdig wirken - Ihre Domain, Ihr Branding, ein Ziel, das Sie umleiten können, falls es jemals missbraucht wird - erzeugen Sie verfolgbare QR-Codes mit Elido, damit Ihr Publikum einen Namen sieht, den es kennt, statt einer zufälligen Zeichenkette.
Wenn Sie bereits einen schlechten gescannt haben#
Einen bösartigen Code zu scannen und in der Vorschau anzusehen bewirkt für sich genommen fast nichts, also sind Sie, wenn Sie bei der Vorschau aufgehört haben, sehr wahrscheinlich in Ordnung - schließen Sie ihn und machen Sie weiter. Die Gefährdung kommt von den nächsten Schritten, und wenn Sie sie unternommen haben, handeln Sie schnell.
Schließen Sie die Seite und geben Sie nichts weiter ein. Wenn Sie bereits ein Passwort eingegeben haben, ändern Sie es auf der echten Seite und schalten Sie die Zwei-Faktor-Authentifizierung für dieses Konto ein. Wenn Sie Karten- oder Bankdaten eingegeben haben, rufen Sie Ihre Bank an. Wenn Sie etwas installiert oder heruntergeladen haben, führen Sie einen Sicherheitsscan durch und entfernen Sie es. Melden Sie es dann - in den USA über die FTC und anderswo über Ihre nationale Behörde für Betrug oder Cyberkriminalität - und behalten Sie die betroffenen Konten ein paar Wochen lang im Auge, denn gestohlene Zugangsdaten werden oft später statt sofort verwendet. Die breitere Haltung zum Prüfen jedes kurzen oder gekürzten Ziels findet sich in Sind URL-Shortener sicher und der Sicherheits-Checkliste für URL-Shortener.
QR-Codes lohnt es sich zu behalten - mit Gewohnheiten#
Nichts davon ist ein Grund, QR-Codes aufzugeben. Sie sind eine wirklich nützliche Brücke vom Physischen zum Digitalen, und das Format selbst ist nicht das Problem - das ist das Social Engineering, das darum herumgewickelt ist. Dieselbe Logik gilt auf der Veröffentlichungsseite: Ein Code, den Sie kontrollieren, auf Ihre eigene Domain zeigen lassen und messen und umleiten können, ist für Ihr Publikum sicherer als ein statischer Wegwerf-Code, weil Sie reagieren können, falls ein Ziel jemals kompromittiert wird.
Für Organisationen lautet die Compliance-Sicht, dass ein QR-Code nur ein weiterer Kanal ist, der einen Link trägt, und dass dieselben Regeln zur Datenminimierung und Residenz für alles gelten, wohin er führt - das Detail steht in DSGVO für URL-Shortener und auf unserer Trust-Seite. Scannen Sie mit einer Vorschau, prüfen Sie die Domain, geben Sie niemals Geheimnisse auf einer Seite ein, zu der ein Code Sie gedrängt hat, und QR-Codes bleiben das, wozu sie gedacht waren: eine Annehmlichkeit, keine Belastung.
Verwandtes im Blog#
Elido testen
URL einfügen, kurzer Link in Sekunden
Kein Konto nötig. Link bleibt 30 Tage aktiv. Konto erstellen, um ihn dauerhaft zu behalten.
Kostenlos, keine Anmeldung erforderlich · 2 pro Tag