Vorsicht vor QR-Code-Phishing

QR-Codes begegnen uns in immer mehr Bereichen des Alltags. Ob Sie ein Impfzertifikat in einer App hinterlegen, eine Überweisung einscannen oder Webinhalte aufrufen möchten -- überall kommt der kleine quadratische Code zum Einsatz. Die Funktionsweise ist denkbar einfach: Sie scannen den Code mit einem QR-Code-Scanner oder Ihrer Smartphone-Kamera und erhalten sofort Zugriff auf den jeweiligen Dienst. Das macht QR-Codes auf den ersten Blick zu praktischen Alltagsbegleitern. Doch gerade diese einfache Handhabung machen sich auch Cyberkriminelle zunutze.

Neue Betrugsmasche: QR-Codes in Mails oder Briefen

Betrüger verfügen über zahlreiche Wege, um an Ihre Login-Daten zu gelangen. Eine weniger bekannte, aber zunehmend verbreitete Methode ist das QR-Code-Phishing. Dabei wird ein manipulierter QR-Code direkt in einer E-Mail platziert. Sie müssen weder einen Anhang herunterladen noch auf einen Link klicken -- ein einfacher Scan genügt. Für Kriminelle hat diese Methode den Vorteil, dass viele herkömmliche Sicherheitslösungen umgangen werden können.

Ein besonders kritischer Aspekt: Über manipulierte QR-Codes können Cyberkriminelle Zugriff auf Ihr Smartphone erhalten. Der Grund ist naheliegend -- während Unternehmen umfangreiche Sicherheitsmaßnahmen für ihre IT-Infrastruktur treffen, sind private Mobilgeräte in der Regel nicht Teil dieses Schutzkonzepts. Die meisten Nutzer vertrauen darauf, dass ihr Smartphone sicher ist, und verfügen über keine Warnsoftware. Obwohl Pentests für mobile Anwendungen solche Bedrohungen aufdecken können, sind sich viele Anwender der Risiken nicht bewusst.

Da QR-Code-Phishing sowohl analog als auch digital funktioniert, sollten Sie QR-Codes grundsätzlich mit Vorsicht begegnen. Beim Phishing führt der gescannte Code Sie beispielsweise auf eine gefälschte Website, die Kriminelle täuschend echt gestaltet haben. Sobald Sie dort Ihre Anmeldedaten eingeben, können die Angreifer diese abfangen und missbrauchen. Ob Sie den Betrug sofort bemerken, hängt von der Absicht der Täter ab. Besonders bei Bank- oder Finanzdaten wird der Schaden jedoch meist schnell sichtbar.

Darüber hinaus können per E-Mail oder Post versandte QR-Codes dazu dienen, Schadsoftware auf Ihrem Gerät zu installieren. Über versteckte Anwendungen erhalten Betrüger Zugriff auf Ihre persönlichen Daten. Da auf vielen Mobilgeräten angemessene Sicherheitsmaßnahmen fehlen, kann QR-Code-Phishing erheblichen Schaden anrichten.

QR-Code-Scanner: Ein unterschätztes Risiko

QR-Code-Scanner-Apps lassen sich bequem über den App Store installieren und sind im Alltag vielfach hilfreich. Trotz verschärfter Sicherheitsmaßnahmen in den Stores gelingt es Cyberkriminellen jedoch immer wieder, manipulierte Apps bereitzustellen. Selbst seriöse Scanner-Apps können durch eingeblendete Werbung zum Einfallstor werden. Die Verwendung eines QR-Code-Scanners birgt insbesondere folgende Risiken:

• Abofalle: Manche Anbieter locken bei der Installation mit einem kostenlosen Probe-Abo und verlängern es automatisch, wenn Sie nicht rechtzeitig kündigen. Die entsprechenden Hinweise sind oft gut versteckt, sodass unerwartete Kosten entstehen. Auch wenn die Auswirkungen weniger gravierend sind als bei anderen Betrugsformen, sollten Sie sich schützen.
• Schadsoftware: Apps können neben ihrer eigentlichen Funktion auch Trojaner, Viren oder andere Schadsoftware mitinstallieren. Diese Programme laufen oft unbemerkt im Hintergrund, spähen aber Ihre Daten aus. Manipulierte QR-Code-Scanner erleichtern Kriminellen die Verbreitung solcher Malware.
• Betrügerische Werbung: Selbst bei seriösen Anbietern kann manipulierte Werbung angezeigt werden. Besonders häufig tritt dieses Problem bei kostenlosen Apps auf, die sich über Werbeeinblendungen finanzieren. Solche Anzeigen können Sie auf Fake-Shops weiterleiten oder betrügerische Angebote einblenden.

Schutz vor QR-Code-Betrug: Tipps und Sicherheitsmaßnahmen

Um sich vor QR-Code-Betrug zu schützen, sollten Sie einige grundlegende Sicherheitsmaßnahmen beachten. Denn von außen lässt sich kaum erkennen, ob eine App oder ein QR-Code manipuliert wurde.

• Prüfen Sie nach dem Scannen eines Codes, ob die aufgerufene URL tatsächlich zur erwarteten Website gehört. Achten Sie auf Tippfehler oder ungewöhnliche Zeichenfolgen in der Adresse.
• Seien Sie misstrauisch, wenn eine über QR-Code aufgerufene Website Sie zur Eingabe von Login-Daten auffordert. Hinter solchen Aufforderungen verbirgt sich häufig ein Betrugsversuch.
• Vermeiden Sie es, Zahlungen über Websites abzuwickeln, die Sie per QR-Code erreicht haben. Gerade in diesem Bereich ist die Betrugsrate besonders hoch.
• Wenn Sie einen QR-Code per E-Mail oder Post erhalten, ist ebenfalls Vorsicht geboten. Achten Sie bei Briefen darauf, ob der QR-Code nachträglich überklebt wurde.
• Laden Sie Apps ausschließlich aus dem offiziellen Store herunter und vermeiden Sie Installationen über QR-Codes.
• Nutzen Sie zum Scannen die integrierte Kamera-Funktion Ihres Smartphones statt einer separaten App. Diese Funktion ist bei den meisten aktuellen Geräten verfügbar und bietet zusätzlichen Schutz.

Pentests: Wirksamer Schutz vor Betrug

Penetrationstests schützen Sie und Ihr Unternehmen nicht nur vor QR-Code-Betrug, sondern auch vor vielfältigen anderen Bedrohungen. Welche Form des Pentests am besten geeignet ist, hängt von Ihrem konkreten Projekt ab.

• Pentests für Webanwendungen konzentrieren sich auf Web-Technologien und decken potenzielle Angriffsvektoren auf, die Ihre Infrastruktur gefährden können.
• Pentests für mobile Anwendungen sind darauf ausgelegt, Sicherheitslücken in Apps zu identifizieren. Der Fokus liegt dabei auf dem zur Kommunikation genutzten Backend-System.
• Infrastruktur-Pentests prüfen die Sicherheit Ihrer kritischen IT-Infrastruktur, darunter Server-Systeme, VPN-Lösungen und WLAN-Netzwerke.
• Pentest vs. Red Team Assessment: Das Red Team Assessment unterscheidet sich vom klassischen Penetrationstest sowohl in der Zielsetzung als auch im Zeitaufwand. Beide Ansätze stärken Ihre Cybersicherheit, doch welches Vorgehen geeignet ist, hängt von Ihren individuellen Anforderungen ab. Idealerweise ergänzen sich beide Methoden, um Ihre IT-Sicherheit nachhaltig zu erhöhen.

Bei all unseren Pentests orientieren wir uns an den wichtigsten Standards, um ein Höchstmaß an Cybersicherheit zu gewährleisten. Eine wesentliche Grundlage bildet dabei der Penetration Testing Execution Standard (PTES). Die Kosten- und Preisgestaltung für einen Pentest kann je nach vorhandener Infrastruktur stark variieren. Eine direkte Anfrage ermöglicht es uns, den Aufwand vorab einzuschätzen und ein individuelles Angebot zu erstellen.

Tipp: Neben diesen spezialisierten Testvarianten können Ihnen die sechs Linux-Distributionen für den Penetrationstest dabei helfen, Schwachstellen zu identifizieren.