QR-Codes verbreiten sich rasant – das bemerken auch Cyberkriminelle

23. November 2021, 13:15
image

"Quishing" oder "QRLjacking": Wie Kriminelle QR-Codes ausnutzen, ist nicht neu. Doch die Methoden werden raffinierter.

Die Verbreitung von Smartphones hat ebenso zu einer weltweiten Zunahme der Benutzung von QR-Codes geführt. Durch die Pandemie hat sich die Verwendung der Codes noch einmal ausgeweitete: Sie dienen zum Abrufen von Speisekarten in Restaurants und von anderen Angeboten, zur Registrierung auf Covid-Tracking-Listen und nicht zuletzt als Nachweis beim digitalen Covid-Zertifikat.
Auch in der Finanzindustrie und bei Zahlungen kommen QR-Codes in steigendem Ausmass zur Anwendung. Bis Herbst 2022 sollen in der Schweiz sämtliche roten und orangen Einzahlungsscheine verschwinden und durch QR-Rechnungen ersetzt werden. Coop schafft seine Twint-Beacons ab und stellt bei der Bezahl-App auf einen QR-Code um – etwas, das Konkurrent Migros bereits vollzogen hat.
2020 verwendeten laut einem Bericht von Juniper Research weltweit 1,5 Milliarden Menschen einen QR-Code, um eine Zahlung auszulösen. Gerade diese Zunahme ruft Cyberkriminelle auf den Plan. Anna Chung, leitende Cybersecurity-Forscherin bei Unit 42 von Palo Alto Networks, erklärte gegenüber 'Tech Monitor': "Während der Pandemie hat Unit 42 beobachtet, wie Cyberkriminelle in Darknet-Foren darüber diskutierten, wie man QR-Codes missbrauchen und mobile Geräte angreifen kann. Wir haben auch Open-Source-Tools und Video-Tutorials gefunden, die Schulungen zur Durchführung von Angriffen mithilfe von QR-Codes anbieten."

Hilfsbereite Passanten geben ihre Daten weiter

Die Cyberkriminellen setzten dabei verschiedene Methoden ein. So häuften sich aus Holland Meldungen, dass Personen auf offener Strasse angesprochen wurden und zum Beispiel um Hilfe bei der Bezahlung eines Parkplatzes gebeten wurden. Hilfsbereite Passanten überwiesen per Smartphone die kleine Gebühr, bekamen diese vor Ort bar zurückerstattet – und gaben damit gleichzeitig ihre Kontoinformationen preis.
Anonymer verläuft das sogenannte "QRLjacking": Kriminelle senden QR-Codes beispielsweise an kleine Unternehmen, um angeblich Zahlungen zu bestätigen. Dabei geben sie als Absender eine Bank an und klonen die entsprechende Login-Seite, die einen legitimen Online-Dienst nachahmt. Scannt das Opfer den Code, erhalten die Angreifer Zugriff auf die entsprechenden Konto- und Login-Daten.

Auch Regeln für Firmentelefone nötig

Auch das "Quishing", eine neuere Variante des seit langem bekannten Phishings, wird laut Security-Experten immer verbreiteter. Cyberkriminelle ersetzen dabei in E-Mails URL-Links durch QR-Codes, die von Antivirenprogrammen zum Teil weniger gut erkannt werden. Danach verläuft es nach gewohntem Muster: Das Opfer scannt den Code, wird dadurch auf eine betrügerische Website gelockt, wo es entweder zur Eingabe von sensiblen Daten aufgefordert oder zum Download von Malware verleitet wird. Laut Chung habe Unit 42 auch beobachtet, das Mitarbeitende mittels QR-Code auf Laufwerke gelockt wurden, die dem tatsächlichen Firmenlaufwerk täuschend ähnlich sahen.
"Die meisten Unternehmen haben ziemlich strenge Sicherheitsvorkehrungen für Laptops", erklärte Chung. "Aber nicht so sehr für das Firmentelefon, denn das ist eine zusätzliche Investitions- und Schutzebene, die man ständig kontrollieren muss."

Loading

Mehr zum Thema

image

Wie ein Musikvideo (einst) Harddisks gecrasht hat

Janet Jacksons "Rhythm Nation" war eine Bedrohung für Laptops.

publiziert am 18.8.2022
image

Die SBB wussten viel länger über ernste Sicherheitslücke Bescheid, als sie zugaben

Im Januar 2022 hatten die SBB eine Lücke geschlossen, die Millionen Kundendaten betraf. Offenbar war schon seit 2018 mehrfach auf das Problem hingewiesen worden.

publiziert am 18.8.2022
image

EFK: Konsularische Dienste müssen digitaler werden

Konsulate haben Nachholbedarf bei der Digitalisierung, findet die Eidgenössische Finanzkontrolle.

aktualisiert am 18.8.2022
image

Cyberangriff: Bülach ist nicht auf Forderungen eingegangen

Die Stadt Bülach hat ausführlich über den Cyberangriff auf seine Verwaltung informiert. Auf Lösegeldforderungen sei man nicht eingegangen.

publiziert am 17.8.2022