Vorsicht vor QR-Code-Phishing

Mittlerweile finden sich die QR-Codes in immer mehr Bereichen des alltäglichen Lebens. Egal, ob Sie ein Impfzertifikat in einer der vielen Corona-Apps hinterlegen, eine Überweisung einscannen oder Webinhalte aufrufen möchten- überall kommt der viereckige Code zum Einsatz. Die Funktionsweise des QR-Codes ist dabei denkbar einfach: Sie müssen ihn lediglich mithilfe eines QR-Code-Scanners oder Ihrer Handykamera scannen - danach haben Sie Zugriff auf den angebotenen Dienst. Das macht den Code auf den ersten Blick zu einem wertvollen Begleiter im Alltag. Gleichzeitig lädt gerade die einfache Handhabung Cyberkriminelle zum QR-Code-Betrug ein.

Neue Betrugsmasche: QR-Codes in Mails oder Briefen

Es gibt viele Möglichkeiten für Betrüger, auf Ihre Login-Daten zuzugreifen. Eine weniger bekannte und neuere Methode ist das QR-Code-Phishing. Dabei handelt es sich um eine Form des QR-Code-Betrugs, der sich direkt in einer E-Mail platzieren lässt. Sie müssen keinen Anhang downloaden und auf keinen Link klicken, sondern lediglich den QR-Code scannen. Für Kriminelle hat ein solcher QR-Code-Betrug den Vorteil, dass sich viele Sicherheitslösungen schnell und einfach umgehen lassen. Ein großes Problem beim QR-Code-Betrug ist, dass Cyberkriminelle Zugriff auf Ihr Smartphone erhalten. Der Grund dafür ist einfach: Während Unternehmen zahlreiche Sicherheitsvorkehrungen treffen, sind die meisten mobilen Endgeräte nicht Teil der geschützten Infrastruktur. Die meisten Anwender vertrauen darauf, dass ihr Handy sicher ist und haben keine Software, die sie warnt. Obwohl Pentests für mobile Anwendungen eine solche Bedrohung erkennen können, sind sich viele User der potenziellen Gefahren nicht bewusst. Da der QR-Code-Betrug sowohl analog als auch digital funktioniert, sollten Sie den QR-Codes kein grenzenloses Vertrauen entgegenbringen. Beim QR-Code-Phishing, dann führt sie das kleine Quadrat beispielsweise auf eine gefälschte Website. Diese Internetseiten präparieren Kriminelle im Vorfeld so geschickt, dass sie täuschend echt aussehen. Geben Sie dann Ihre Anmeldedaten für Ihre Konten oder weitere Dienste ein, haben die Betrüger leichtes Spiel. Denn Cyberkriminelle können so Ihre Eingabe abfangen und Ihre Daten stehlen. Ob Sie den QR-Code-Betrug direkt bemerken, hängt davon ab, was die Angreifer geplant haben. Handelt es sich jedoch um die Eingabe Ihrer Bank- oder Finanzdaten, wird der Betrug schnell offensichtlich. Alternativ können per E-Mail oder postalisch versandte QR-Codes dazu dienen, Schadsoftware zu installieren. Versteckte Anwendungen ermöglichen es den Betrügern, auf Ihre mobilen Geräte zuzugreifen. Das Ergebnis ist, dass Sie Ihre persönlichen Daten auslesen können. Da an vielen Stellen die notwendigen Sicherheitsmaßnahmen für mobile Geräte fehlen, kann der QR-Code-Betrug verheerende Folgen haben.

QR-Code-Scanner: Ein unterschätztes Risiko

Der QR-Code-Scanner ist eine Möglichkeit, um die Inhalte des QR-Codes abzurufen. Solche Scanner lassen sich bequem über den App-Store installieren und helfen in vielen alltäglichen Situationen weiter. Trotz schärferer Sicherheitsmaßnahmen in den Stores kann es vorkommen, dass Cyberkriminelle die oftmals kostenlosen Apps bereitstellen. Selbst seriöse Angebote können aufgrund der eingeblendeten Werbung zum QR-Code-Phishing beitragen. Folgende Risiken gehen mit der Verwendung eines QR-Code-Scanners einher:

• Abofalle: Die Abofalle verbirgt sich in vielen Bereichen - auch im QR-Code-Scanner. Manche Anbieter bieten Ihnen bei Installation ein Probe-Abo und verlängern Ihr Abo automatisch, falls Sie es nicht kündigen. Da die diesbezüglichen Hinweise oftmals gut versteckt sind, entstehen Ihnen ungeahnte Kosten. Obwohl es sich auch hierbei um einen QR-Code-Betrug handeln kann, sind die Auswirkungen weniger verheerend als in anderen Szenarien. Trotzdem sollten Sie sich möglichst umfangreich schützen.
• Schadsoftware: Ein gängiges Problem mit Apps ist, dass sie neben der eigentlichen Anwendung auch Trojaner, Viren oder andere Schadsoftware mit installieren können. Diese Programme sind oftmals nicht erkennbar, können aber dennoch Ihre Daten ausspähen. Der QR-Code-Betrug erleichtert es Kriminellen, solche Inhalte auf Ihrem Gerät zu installieren.
• Werbung: Betrügerische Werbung und QR-Code-Betrug können selbst bei seriösen Anbietern vorkommen. Trotzdem finden Sie solche Inhalte häufiger bei den kostenlosen Angeboten, die sich über Werbeeinblendungen finanzieren. Die eingeblendeten Werbeangebote stellen eine wichtige Gefahrenquelle dar und können Sie auf Fake-Shops weiterleiten oder betrügerische Verkaufsangebote unterbreiten.

Schutz vor QR-Code-Betrug: Tipps und Sicherheitsmaßnahmen

Um QR-Code-Betrug vorzubeugen, ist es wichtig, dass Sie die notwendigen Sicherheitsmaßnahmen ergreifen. Schließlich ist es kaum möglich, zu erkennen, welche App Gefahren mit sich bringen kann oder welcher QR-Code auf Betrug ausgelegt ist.

• Prüfen Sie beim Scannen eines Codes, ob er tatsächlich die gewünschte Website aufruft. Achten Sie dabei auf die URL - sie sollte weder Tippfehler noch falsche Buchstaben beinhalten.
• Sie sollten skeptisch sein, sobald Sie eine Website über den QR-Code aufrufen und Ihre Login-Daten eingeben sollen. Oft handelt es sich dabei um QR-Code-Betrug, der zu großen finanziellen Verlusten führen kann.
• Verzichten Sie darauf, Zahlungen auf Websites vorzunehmen, die Sie über einen QR-Code aufrufen. Hier kommt es besonders häufig zum QR-Code-Betrug.
• Falls Sie einen QR-Code per E-Mail oder per Post erhalten, kann es sich ebenfalls um QR-Code-Betrug handeln. Achten Sie daher bei Briefen darauf, ob der QR-Code überklebt wurde.
• Laden Sie Apps am besten direkt aus dem offiziellen Store herunter. Verzichten Sie darauf, die Installation über einen QR-Code zu starten, um sich vor QR-Code-Betrug zu schützen.
• Verwenden Sie die Kamera Ihres Smartphones, um einen Code zu scannen anstatt einer separaten App. Diese Funktion ist für die meisten Smartphone Kameras verfügbar und schützt Sie vor ungewolltem QR-Code-Betrug.

Pentests: Effektiver Schutz vor Betrug

So genannte Pentests schützen Sie und Ihr Unternehmen nicht nur vor QR-Code-Betrug, sondern auch vor potenzieller Schadsoftware. Wie genau der IT-Sicherheits-Penetrationstest aussieht, hängt von Ihrem konkreten Projekt ab.

• Pentests für Webanwendungen konzentrieren sich auf die Web-Technologien. Dadurch ist es möglich, potenzielle Angriffsvektoren zu erkennen, die Ihre Infrastruktur bedrohen können.
• Pentests für mobile Anwendungen sind darauf ausgelegt, Probleme mit Apps zu erkennen. Dabei konzentrieren sie sich auf das zur Kommunikation genutzte Backend-System.
• Infrastruktur-Pentests prüfen hingegen die Sicherheit Ihrer kritischen IT-Infrastruktur. Dazu gehören beispielsweise Server-Systeme, VPN-Systeme und WLAN-Netze.
• Pentest vs. Red Team Assessment: Das Red Team Assessment unterscheidet sich vom klassischen Penetrationstest sowohl in puncto Zielsetzung als auch hinsichtlich des Zeitaufwandes. Grundsätzlich bieten Ihnen beide Möglichkeiten zusätzliche Cybersecurity, doch hängt es von Ihren individuellen Anforderungen ab, welches Vorgehen angebracht ist. Idealerweise sollten die beiden Testmethoden jedoch Hand in Hand gehen, um Ihre IT-Sicherheit maßgeblich zu erhöhen.

Bei sämtlichen Pentests achten wir darauf, die wichtigsten Standards einzuhalten, um zu der größtmöglichen Cybersicherheit beizutragen. Eine Grundlage dafür ist der PTES. Hier haben wir den Penetration Testing Execution Standard (PTES) einfach erklärt. Die Kosten- und Preisgestaltung für einen Pentest kann abhängig von der vorliegenden Infrastruktur sehr unterschiedlich ausfallen. Eine direkte Anfrage ermöglicht es, den notwendigen Aufwand im Vorfeld einzuschätzen und beides entsprechend zu kalkulieren. Tipp: Neben diesen spezialisierten Testvarianten können Ihnen die sechs Linux Distributionen für den Penetrationstest dabei helfen, Schwachstellen zu identifizieren.