Die Verbreitung von Smartphones hat ebenso zu einer weltweiten Zunahme der Benutzung von QR-Codes geführt. Durch die Pandemie hat sich die Verwendung der Codes noch einmal ausgeweitete: Sie dienen zum Abrufen von Speisekarten in Restaurants und von anderen Angeboten, zur Registrierung auf Covid-Tracking-Listen und nicht zuletzt als Nachweis beim digitalen Covid-Zertifikat.

Auch in der Finanzindustrie und bei Zahlungen kommen QR-Codes in steigendem Ausmass zur Anwendung. Bis Herbst 2022 sollen in der Schweiz sämtliche roten und orangen Einzahlungsscheine verschwinden und durch QR-Rechnungen ersetzt werden. Coop schafft seine Twint-Beacons ab und stellt bei der Bezahl-App auf einen QR-Code um – etwas, das Konkurrent Migros bereits vollzogen hat.

2020 verwendeten laut einem Bericht von Juniper Research weltweit 1,5 Milliarden Menschen einen QR-Code, um eine Zahlung auszulösen. Gerade diese Zunahme ruft Cyberkriminelle auf den Plan. Anna Chung, leitende Cybersecurity-Forscherin bei Unit 42 von Palo Alto Networks, erklärte gegenüber 'Tech Monitor': "Während der Pandemie hat Unit 42 beobachtet, wie Cyberkriminelle in Darknet-Foren darüber diskutierten, wie man QR-Codes missbrauchen und mobile Geräte angreifen kann. Wir haben auch Open-Source-Tools und Video-Tutorials gefunden, die Schulungen zur Durchführung von Angriffen mithilfe von QR-Codes anbieten."

Die Cyberkriminellen setzten dabei verschiedene Methoden ein. So häuften sich aus Holland Meldungen, dass Personen auf offener Strasse angesprochen wurden und zum Beispiel um Hilfe bei der Bezahlung eines Parkplatzes gebeten wurden. Hilfsbereite Passanten überwiesen per Smartphone die kleine Gebühr, bekamen diese vor Ort bar zurückerstattet – und gaben damit gleichzeitig ihre Kontoinformationen preis.

Anonymer verläuft das sogenannte "QRLjacking": Kriminelle senden QR-Codes beispielsweise an kleine Unternehmen, um angeblich Zahlungen zu bestätigen. Dabei geben sie als Absender eine Bank an und klonen die entsprechende Login-Seite, die einen legitimen Online-Dienst nachahmt. Scannt das Opfer den Code, erhalten die Angreifer Zugriff auf die entsprechenden Konto- und Login-Daten.

Auch das "Quishing", eine neuere Variante des seit langem bekannten Phishings, wird laut Security-Experten immer verbreiteter. Cyberkriminelle ersetzen dabei in E-Mails URL-Links durch QR-Codes, die von Antivirenprogrammen zum Teil weniger gut erkannt werden. Danach verläuft es nach gewohntem Muster: Das Opfer scannt den Code, wird dadurch auf eine betrügerische Website gelockt, wo es entweder zur Eingabe von sensiblen Daten aufgefordert oder zum Download von Malware verleitet wird. Laut Chung habe Unit 42 auch beobachtet, das Mitarbeitende mittels QR-Code auf Laufwerke gelockt wurden, die dem tatsächlichen Firmenlaufwerk täuschend ähnlich sahen.

"Die meisten Unternehmen haben ziemlich strenge Sicherheitsvorkehrungen für Laptops", erklärte Chung. "Aber nicht so sehr für das Firmentelefon, denn das ist eine zusätzliche Investitions- und Schutzebene, die man ständig kontrollieren muss."