OnD - Stock.Adobe.com
QR-Code-Phishing: die unterschätzte Gefahr
QR-Codes finden sich nahezu überall und fast jeder nutzt sie bedenkenlos. QR-Code-Angriffe finden bereits in alarmierender Häufigkeit statt, entsprechende Vorsicht ist angebracht.
QR-Codes gibt es schon seit fast drei Jahrzehnten. Aus dem heutigen Lebensalltag sind sie nicht mehr wegzudenken. Sie ersetzen Speisekarten in Restaurants, Gutscheine oder Anzeigen in U-Bahn-Stationen und finden sich in Zeitschriften oder auf Visitenkarten.
In der COVID-19-Pandemie spielen sie zudem eine wichtige Rolle bei der Rückverfolgung von Kontaktpersonen oder der Überprüfung des Impfstatus. In der Regel wird ein Smartphone als QR-Code-Scanner verwendet, der den Code anzeigt und ihn in eine nützliche Form umwandelt – zum Beispiel in eine Standard-URL für eine Website, sodass der Benutzer sie nicht in einen Webbrowser eingeben muss.
Prinzipiell sind die Verbraucher durch mehr als zwei Jahre pandemiebedingter Internetkriminalität bei ihren digitalen Aktivitäten vorsichtiger geworden. E-Mails, Anrufe und sogar Textnachrichten werden genau geprüft. QR-Codes hingegen werden nach wie vor nicht wirklich als potenziell gefährlich eingestuft. Sie werden von den meisten Menschen – ohne groß zu überlegen – gescannt.
Allerdings stellen QR-Codes die gleiche Gefahr dar wie Hyperlinks auf einer Website oder in einer E-Mail. QR-Codes können als physische Form möglicher Spam-E-Mails betrachtet werden. Folglich ist bei der Nutzung immer Skepsis angebracht.
Wenn der Nutzer nicht weiß, mit wem er sich verbindet, kann sein System eine Verbindung zu einem Angreifer-Host herstellen. In diesem Fall könnte der Angreifer den gesamten Datenverkehr sehen und sich Zugang zu Anmeldedaten, Session-Cookies oder API-Anfragen verschaffen.
Leicht angreifbar durch QRLJacking
Eine beliebte Angriffsmethode von Hackern ist das QRLJacking oder Quick Response Code Login Jacking. Es ist ein einfacher, aber bösartiger Angriffsvektor, der alle Anwendungsszenarien betrifft, bei denen die Funktion „Login mit QR-Code“ als sichere Methode zur Anmeldung an Accounts dient.
Der QRLJacking-Angriff läuft dabei folgendermaßen ab:
- Der Angreifer initialisiert eine Client-seitige QR-Sitzung und klont den Login-QR-Code in eine Phishing-Website, die einen gültigen und regelmäßig aktualisierten QR-Code enthält.
- Der Angreifer sendet die Phishing-Seite an das Opfer.
- Das Opfer scannt den QR-Code mit einer Handy-App.
- Der Angreifer erlangt die Kontrolle über den Account des Opfers.
- Der Service tauscht alle Daten des Opfers mit der Session des Angreifers aus.
Eine solche Attacke kann neben dem Account-Hijacking, also dem Account-Diebstahl, auf die Offenlegung von Informationen und die Manipulation von Daten abzielen. So erhält ein Angreifer nach dem Scan eines QR-Codes zahlreiche Informationen seines Opfers wie den aktuellen GPS-Standort, den Gerätetyp, die IMEI (International Mobile Station Equipment Identity) oder SIM-Karten-Daten, das heißt alle vertraulichen Informationen, die die Client-Anwendung während des Login-Prozesses bereitstellt. Oft werden solche Daten über unsichere Netzwerkverbindungen übertragen, sodass sie vom Angreifer leicht kontrolliert, verändert oder sogar entfernt werden können.
QR-Codes: Bei Verdacht vorsichtig sein
Was eine Fälschung ist und was nicht, ist schwer zu erkennen. Es gibt aber einige Möglichkeiten, wie man sich vor dem QR-Code-Phishing besser schützen kann. Bevor ein Nutzer einen QR-Code scannt, sollte er mehrere Fragen stellen: „Weiß ich, wer den QR-Code dort platziert hat? Kann ich darauf vertrauen, dass er nicht manipuliert wurde? Ist es in dieser Situation überhaupt sinnvoll, einen QR-Code zu verwenden?“ Wenn dem Nutzer etwas komisch vorkommt, sollte er seinem Gefühl vertrauen und den QR-Code nicht scannen. Gleiches gilt, wenn ein QR-Code zu einer Website führt, die persönliche Daten oder finanzielle Details abfragt.
Eine wirksame Schutzmaßnahme ist auch die Überprüfung von QR-Code-Links. Unter iOS erkennt die Kamera-App automatisch QR-Codes und bietet die Möglichkeit, den zugehörigen Link in einem Webbrowser zu öffnen. Es wird dabei die URL angezeigt, zu der der QR-Code führen soll. Hier sollte eine sorgfältige Überprüfung erfolgen, bevor die Website aufgerufen wird. Wenn die Domain nicht mit der Organisation übereinstimmt, von der der QR-Code vermeintlich stammt, oder wenn sie eindeutig verdächtig ist, dann stimmt etwas nicht.
Unternehmen und Behörden verwenden manchmal verkürzte URLs in ihren QR-Codes oder beauftragen Dritte mit der Abwicklung mobiler Zahlungen. Dies macht es schwieriger, eine nicht übereinstimmende URL zu erkennen. Mit einer Websuche nach der URL und dem Namen der Organisation kann man unter Umständen schnell ermitteln, ob der QR-Code legitim ist. Allerdings sollte bei Unsicherheiten die Website der entsprechenden Organisation direkt im Browser aufgerufen werden.
Wichtig ist auch, Anzeichen für physische Manipulationen zu erkennen. Vor allem an Orten wie Restaurants, an denen QR-Codes häufig verwendet werden, ist Vorsicht geboten. Zu achten ist beispielsweise darauf, ob ein QR-Code-Sticker mit einem anderen überklebt ist.
„Da QR-Codes zunehmend zu einer beliebten Phishing-Methode werden, ist bei der Verwendung größte Vorsicht geboten.“
Len Noe, CyberArk
Prinzipiell Vorsicht angebracht ist beim Scannen von QR-Codes, die sich im öffentlichen Bereich finden oder per Post zugesandt werden. In neun von zehn Fällen mag es dabei wahrscheinlich um Marketingaktivitäten gehen, aber das Scannen eines dieser QR-Codes stellt letztlich die gleiche Gefahr dar wie das Klicken auf einen Spam-Link in einer E-Mail.
Eine Sicherheitsmaßnahme schließlich, die ohnehin jeder User ergreifen sollte, ist die Multi-Faktor-Authentifizierung. Sie schützt zwar nicht, wenn man seine Kreditkartendaten auf einer Phishing-Website preisgibt, aber sie kann definitiv die Kompromittierung eines Kontos verhindern.
Ein zentraler Vorteil von QR-Codes besteht darin, dass sie leicht zugänglich und einfach zu produzieren sind. Von Nachteil ist allerdings, dass sie auch eine perfekte Möglichkeit für Cyberkriminelle darstellen, persönliche Daten abzugreifen. Da QR-Codes zunehmend zu einer beliebten Phishing-Methode werden, ist bei der Verwendung größte Vorsicht geboten. Wie generell im digitalen Bereich sollte ein QR-Code-Nutzer auch immer alle potenziellen Sicherheitsrisiken im Auge behalten.
Über den Autor:
Len Noe ist Technical Evangelist und White Hat Hacker bei CyberArk.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
