Düsseldorf. Cyberkriminelle haben eine neue Betrugsmethode entwickelt: Mit manipulierten QR-Codes locken sie auf gefälschte Internetseiten, wollen so Geld stehlen, persönliche Daten wie Bankdaten oder Passwörter abgreifen oder Trojaner installieren. Dazu überkleben sie QR Codes von seriösen Anbietern, verschicken gefälschte Bank- oder Behördenbriefe und verteilen gefälschte Strafzettel. Der Name der Betrugsmasche: „Quishing“, ein Kofferwort aus „QR“ und „Phishing“. Darunter versteht man das Phishing mit QR-Codes, das sich immer stärker verbreitet, seit die Nutzung von QR Codes aufgrund der Corona-Maßnahmen während der Pandemie rasant gestiegen ist. Einige Menschen sind bei der Verwendung von QR Codes nun verunsichert.
„Dafür gibt es aber eigentlich gar keinen Grund“, sagt Thomas Kurpjuweit, Technical Product Engineer bei DENSO. „Die Technologie hinter dem QR Code ist sicher. Wie beim herkömmlichen Phishing per E-Mail setzen Betrüger allerdings auf die Sorglosigkeit der Nutzer, die aus Gutgläubigkeit die im QR Code codierten Links öffnen, ohne diese vorher zu prüfen, oder der Quelle des QR Codes blind vertrauen. Dieses Risiko besteht jedoch bei jeder Aktivität im Internet und auch bei jedem anderen 2-dimensionalen Code, beispielsweise bei Data-Matrix-Codes. Wer ein paar einfache Sicherheitshinweise beachtet, kann einen QR Code problemlos sicher nutzen.“
Als Erfinder des QR Codes empfehlen wir die folgenden drei Schritte, um sich wirksam vor Betrugsmaschen zu schützen:
1. Den QR Code selbst bzw. das Trägermedium kritisch prüfen
Die nachträgliche Manipulation eines QR Codes ist technisch nicht möglich. Betrüger müssen also einen eigenen Code neu erstellen und diesen an Stellen anbringen, die auf den ersten Blick vertrauenswürdig wirken. Nutzer sollten also die Beschaffenheit eines QR Codes und sein Trägermedium genau prüfen: Ist der QR Code zum Beispiel nur aufgeklebt oder überklebt sogar einen anderen Code, ist Vorsicht geboten. Kommt der QR Code im Rahmen einer Zahlungsaufforderung – zum Beispiel von der Bank oder dem Finanzamt –, sollte auch dieser Brief genau geprüft werden: Oft nutzen Betrüger beispielsweise eine falsche Absenderadresse oder inkorrekte Behördenbezeichnungen.
2. Die richtige Scanner-App mit Sicherheitsabfrage wählen
Nutzer sollten bei der Wahl ihrer Scanner-App darauf achten, dass sie eine Sicherheitsabfrage vornimmt, bevor sie den gescannten Code öffnet. Der Nutzer bekommt hierbei die im QR Code gespeicherten Daten und die URL des hinterlegten Links angezeigt und wird explizit gefragt, ob dieser geöffnet werden soll. Die meisten seriösen QR Code Scanner verfügen über diese Schutzfunktion, doch manche Apps überspringen diesen Schritt, da es schneller geht und damit bequemer für den Nutzer ist. Ist ein manipulierte Link jedoch erst einmal geöffnet, ist der Schaden meist schon angerichtet.
3. Den weiterführenden Link kontrollieren
Es dauert nur einen Augenblick, kann aber vor größerem Schaden bewahren: Bevor Nutzer ihrer Scanner-Software grünes Licht für das Öffnen des im QR Code hinterlegten Links geben, sollten sie noch einmal kritisch die URL prüfen. Gefälschte Websites erkennt man zum Beispiel an alternativen Schreibweisen in der URL, die Betrüger nur minimal abändern.
Das zeigt: Der verantwortungsvolle und sichere Umgang mit QR Codes zum Schutz vor Betrügern ist grundsätzlich unkompliziert. Er ist inzwischen ein wichtiger Bestandteil der Medienkompetenz im digitalen Zeitalter, insbesondere da der QR Code sich fest in Alltag und Berufsleben etabliert hat.
Vor genau 30 Jahren erfand Masahiro Hara bei DENSO den QR Code. Heute reichen die Lösungen von DENSO WAVE von Premium-RFID-Lesegeräten, Handheld-Terminals / Mobilen Computern und Barcode Scannern bis hin zu komplexen und Cloud-basierten IoT-Datenmanagementsystemen