Obwohl QR-Codes eine großartige Möglichkeit sind, Inhalte für eine Vielzahl von Anwendungsfällen in allen Branchen und auf der ganzen Welt zu teilen, gibt es leider auch Menschen, die sie missbrauchen.
Bei kostenpflichtigen Konten wie Trueqrcode hat nur der Kontoinhaber Zugriff auf sein Dashboard, sodass Codes nicht missbraucht werden können, es sei denn, jemand hat Zugriff auf dein Konto. Du solltest außerdem nur QR-Codes scannen, die von Orten und Marken stammen, denen du vertraust, und sicherstellen, dass niemand sie kopiert hat.
Technologie ist eine tolle Sache, aber wie bei allem gibt es auch hier immer Möglichkeiten, sie zu missbrauchen. Wir zeigen dir, warum die Verwendung von QR-Codes – egal ob du sie erstellst oder scannst – eine schnelle, bequeme und sichere Möglichkeit sein kann, Inhalte zu teilen, und wie du verhindern kannst, dass du bösartige QR-Codes scannst, die Malware herunterladen, oder gefälschte Codes, die dich auf Seiten führen, auf denen versucht wird, deine Daten zu stehlen.
Was ist „Quishing“?
Ein „Quishing“- oder QR-Code-Phishing-Angriff findet meist statt, wenn ein Betrüger einen QR-Code auf einem beliebigen Medium oder an einem beliebigen Ort platziert und dabei vorgibt, jemand anderes zu sein oder ein gefälschtes Unternehmen bzw. einen gefälschten Dienst zu vertreten. Der QR-Code leitet dich auf eine gefälschte oder nachgebaute Webseite weiter, auf der du nach Zugangsdaten oder Kreditkarteninformationen gefragt wirst.
Ein bösartiger QR-Code könnte Malware auf dein Handy übertragen. Der automatische Download gefährdet die Sicherheit und ermöglicht dem Betrüger Zugriff auf dein Handy.
Ein weiteres Anzeichen für „Quishing“ ist, wenn man gezielt angesprochen wird. Wenn man dir eine E-Mail schickt oder dir auf der Straße Prospekte in die Hand drückt, in denen du aufgefordert wirst, nach etwas zu suchen, das dich interessieren könnte.
Wie funktionieren Quishing-Angriffe, und wie kann ich mich davor schützen?
Wir werden einige der Methoden durchgehen, mit denen Angreifer das tun, dir erklären, wie du dich schützen kannst, und dir anhand einiger gängiger Beispiele zeigen, wann es für dich nützlich, unterhaltsam und praktisch ist, QR-Codes zu scannen, damit diese tolle Technologie nicht verschwendet wird.
Problem: Angreifer könnten einen QR-Code an einem öffentlichen Ort, auf einem Flyer, einer Plakatwand, einem Poster, einer Visitenkarte usw. ausdrucken, um eine Dienstleistung oder ein Produkt anzubieten. Schutz: Scanne keine QR-Codes aus unbekannter Quelle. Es gibt andere Möglichkeiten, im Internet oder vor Ort nach der Marke zu suchen – und wenn du sicher bist, dass es sich um ein echtes Unternehmen handelt, dann scanne den Code. Wann du einen QR-Code scannen solltest: QR-Codes auf Visitenkarten eignen sich hervorragend zum Netzwerken. Wenn du auf einer Networking-Veranstaltung oder einem Geschäftstreffen bist und diese Person persönlich in ihrem Unternehmen kennengelernt hast, scanne einfach den Code – schon werden die Kontaktdaten automatisch und fehlerfrei auf dein Handy heruntergeladen. Das ist besonders praktisch, falls Tippfehler gemacht oder falsche Nummern angegeben wurden.
Problem: Dir wird etwas angeboten, das wie ein normales Gratisgeschenk, ein Rabatt, ein Gutschein oder sogar ein Angebot aussieht, für das du bereit wärst zu zahlen. Schutz: Achte darauf, von welcher Marke der Code stammt. Manchmal kann es vorkommen, dass ein Angreifer einen Markennamen oder ein Logo stiehlt – sei dir dessen bewusst. Befindest du dich jedoch in einem echten Laden oder an einem Ort, an dem du den Eigentümer des Codes kennst, kannst du den Code bedenkenlos scannen. Wann du einen QR-Code scannen solltest: Du bist gerade persönlich in einer Boutique und auf einem Flyer ist ein QR-Code mit einem tollen Aufruf zum Handeln, den du dir einfach nicht entgehen lassen darfst.
Problem: Du scannst einen Code, und die Seite, auf die du weitergeleitet wirst, ist eine Kopie einer echten Seite, manchmal mit einer kopierten URL, an die ein anderer Ländercode angehängt ist. Schutz: Scanne nur Codes von Seiten, denen du vertraust. Wann du einen QR-Code scannen solltest: Du gehst auf ein Konzert, und nach der Show hält der Musiker ein Banner mit einem QR-Code hoch, über den du zu seiner Spotify-Seite, seinen Social-Media-Kanälen oder sogar zum Kauf von Konzertkarten gelangst. Klar, deine Lieblingsbands sind einfach nur ehrliche Leute, die für ihre Arbeit werben und coole Events und Musik mit der Welt teilen.
Problem: Eine Website, auf der du noch nie warst, fragt nach deinen Kreditkartendaten, um einen Kauf abzuschließen. Das kann sogar ohne QR-Codes passieren. Überall tauchen plötzlich Websites für Artikel wie Kleidung auf, nur um später festzustellen, dass es sich um eine professionell gestaltete, wunderschön gemachte Website handelt, hinter der kein Lagerbestand steckt. Das sind Kreditkartendatendiebe. Schutz: Schau immer bei Trustpilot, Google Reviews usw. nach, ob es Hunderte oder Tausende von Bewertungen zu einer Website gibt. Und manchmal sind sogar diese gefälscht. Wenn die Marke nicht seriös ist, gib keine Kreditkartendaten ein. Das ist schade für aufstrebende Marken, die sich einen Namen machen wollen. Wann du einen QR-Code scannen solltest: Beobachte sie eine Weile und lerne sie kennen, so wie du es auch mit einer Person tun würdest, bevor du jemandem vertraust.
Arten von QR-Code-Phishing-Angriffen
- Bösartige QR-Codes könnten deine Zugangsdaten stehlen für wichtige (oder beliebige) Online-Konten wie dein Gmail- oder Microsoft-Konto. Sie fälschen bekannte Websites, und wenn du dich bei ihrem gefälschten Konto anmeldest, stehlen sie deine Zugangsdaten für dein echtes Konto. Achte genau auf die URL, wenn du dich über einen QR-Code bei einer Website anmeldest, dessen Herkunft du nicht kennst.
- Manche QR-Codes könnten automatisch Malware herunterladen auf dein Handy und fordern dich dann auf, eine App zu installieren, die wie Spyware aussieht, um das Problem zu beheben. Installiere auf keinen Fall, was sie dir sagen, und du musst nach Möglichkeiten suchen, wie du das, was sie angerichtet haben, wieder loswerden kannst.
- Manchmal bringen Betrüger gefälschte QR-Codes an Parkuhren, Wohltätigkeitsplakaten und anderen Orten an, an denen man sie scannen und bezahlen kann. Sobald du auf ihre gefälschte Website weitergeleitet wurdest, bist du eigentlich nur dem Betrüger Geld zu zahlen.
- Angriffe durch überlagerte QR-Codes treten auf, wenn ein Betrüger an einem öffentlichen Ort seinen eigenen QR-Code über den echten klebt – achte also darauf, ob sich unter dem Code, den du gerade scannst, noch ein anderer befindet.
- Ein gefälschte Sicherheitswarnung fordert dich gerade dazu auf, dich anzumelden – nur, um deine Anmeldedaten für eine bestimmte Website zu stehlen.
- Fake WLAN Verbindungen. Verbinde dich niemals mit einem öffentlichen WLAN-Netzwerk, das kostenloses WLAN anbietet. Es handelt sich wahrscheinlich um einen Betrugsversuch. Sei an Orten wie Flughäfen besonders vorsichtig. Frag zuerst das Personal, wo du dich verbinden kannst.
- QR-Codes mit einem Aufruf zum Handeln, der Rabatte oder Gutscheine Meistens klauen die einfach deine E-Mail-Adresse, wenn du sie auf irgendeiner Seite angibst, auf die sie dich weitergeleitet haben, und schicken dir danach nervige Abonnement-E-Mails, für die du dich nie angemeldet hast. Es gibt zwar immer noch ein paar gute Firmen und ehrliche Leute, die tolle Sachen anbieten, aber die musst du erst mal kennenlernen.
- Angebote für gefälschte Veranstaltungstickets Es gibt auch Fälschungen, also musst du dich vergewissern, dass es sich um einen seriösen Ticketverkäufer handelt, bevor du überhaupt scannst. Wenn du auf dem Konzert eines echten Musikers bist und dort am Veranstaltungsort ein Plakat mit einem QR-Code hängt, ist das höchstwahrscheinlich in Ordnung. Aber wenn es sich nur um einen zufälligen Code mitten im Nirgendwo handelt, wie zum Beispiel einen Aufkleber an einem Fahnenmast, heißt das nicht, dass er nicht echt ist; tatsächlich kleben manche junge, aufstrebende Künstler und Bandmitglieder überall Aufkleber hin, aber du solltest keinen QR-Code scannen, der einfach nur an einem Laternenpfahl klebt.
- Betrügerische Betrugsmaschen im Bereich Bankwesen, Finanzen und Kryptowährungen sind immer möglich. Ich würde dir nicht empfehlen, einen Code zu scannen, den dein Finanzinstitut nicht selbst in seiner Banking-App bereitgestellt hat – und schon gar nicht, wenn du eine Nachricht erhalten hast. Scanne nichts, womit du aktiv angesprochen wurdest. Es gibt andere Möglichkeiten, Bankgeschäfte zu erledigen. Vor allem, wenn nach Kreditkarten- oder Bankkontodaten gefragt wird. Schließ einfach die Seite.
- Es gibt Lieferbetrugsfälle Da es vorkommt, dass Leute gefälschte Paketbenachrichtigungen per SMS erhalten, solltest du diesen nicht trauen – vor allem, wenn du gar kein Paket erwartest. Ignoriere sie einfach.
- Gefälschte Speisekarten könnte ausgehändigt werden, wenn es von einem Restaurant kopiert wird. Wenn du die Speisekarte schon in der Hand hast, musst du sie nicht unbedingt auch noch auf deinem Handy speichern. Solange das Restaurant sie nicht in deine Liefer-Tüte legt, solltest du es nicht als selbstverständlich ansehen, wenn sie einfach so in der Öffentlichkeit ausgehändigt wird.
Was ist QRLJacking?
Mit einer „Quick Response“-Anmeldung (QRL) kannst du dich direkt auf einer Website anmelden, ohne deine Zugangsdaten einzugeben. Ein Beispiel wäre ein WhatsApp-QR-Code, der WhatsApp direkt öffnet, ohne dass du dich anmelden musst. Das soll benutzerfreundlich sein, damit du nicht jedes Mal dein Passwort eingeben musst, wenn du die Website aufrufst.
Ein QR-Code ist einfach nur ein Code. Ein QRL ist eine Authentifizierungsmethode mit einem QR-Code.
Wenn du einen gefälschten QR-Code scannst, könnte dieser echte Authentifizierungsverfahren umgehen und so deine Passwörter abfangen, um Zugriff auf deine Konten zu erhalten. Es könnte auch sein, dass du trotzdem aufgefordert wirst, diese Daten einzugeben. Scanne einfach keine Codes, deren Herkunft du nicht kennst und die dich sofort anmelden wollen.
Selbst wenn eine 2FA oder MFA aktiv ist, könnte man dich auffordern, deine Identität noch einmal darüber zu bestätigen, um ihnen Zugriff zu gewähren. Wenn du diese zweite Authentifizierungsmethode nicht akzeptierst, kannst du dich schützen.
Wie kann ich einen Phishing-Angriff über einen QR-Code erkennen?
Du solltest immer wissen, woher der Code stammt. Ja, deine Lieblingsmarken wie Prada oder Calvin Klein drucken vielleicht einen QR-Code auf eine Werbetafel oder ein Plakat an einer Bushaltestelle, um Scans zu generieren. Und das könnte seriös sein. Normalerweise ist es seriös, wenn so viel Geld für Werbung ausgegeben wird, zum Beispiel für eine Werbetafel in einem belebten Einkaufsviertel. Überleg dir einfach, was du da gerade scannst, bevor du es tust, und sei vorsichtig. Achte auf die URL, die dich nach Geld fragt. Ist das wirklich die Website von Prada? Hab keine Angst vor QR-Codes. Sie sind eine tolle Technologie, aber wie bei allem musst du umsichtig sein.
Scanne keine geheimnisvollen Codes. Wenn an der Ecke ein zwielichtiger Typ steht und Flyer verteilt, ja, dann könnte er ein unbekannter Künstler oder Musiker sein, der Tickets für eine Show verkauft. Behalte den Flyer dann einfach. Wenn du unter Druck gesetzt wirst, den Code sofort zu scannen, solltest du es lieber lassen. Such die Infos auf dem Flyer einfach separat. Flyer mit QR-Codes sind toll, wenn sie bei echten Veranstaltungen und Konferenzen von Leuten verteilt werden, die dort arbeiten.
Wenn irgendwas an dem CTA komisch aussieht oder ihre Marketingmaterialien Rechtschreibfehler oder nicht ganz korrekte URLs enthalten, usw., lass dich nicht täuschen. Ländercodes am Ende einer URL können echt sein, wenn du dich in diesem Land befindest, aber manchmal wird eine gängige URL kopiert, dupliziert und am Ende ein Ländercode angehängt – und wenn du dann etwas kaufst, werden deine Daten gestohlen.
Dringende Nachrichten, in denen um deine sofortige Auskunft gebeten wird sind ein sicheres Anzeichen dafür, dass es sich nicht um einen echten Code handelt. QR-Codes sollten zu Landingpages führen, die dir Informationen liefern. Sie sollten dich niemals nach Informationen fragen. QR-Codes sollten Inhalte auf Websites, in sozialen Medien, in Tutorials auf YouTube usw. weiterleiten. Es gibt bestimmte Websites, wie zum Beispiel Online-Shops deiner Lieblingshändler, die QR-Codes anbieten und Wiederholungskäufe ermöglichen. Du musst jedoch sicherstellen, dass du dich tatsächlich auf der Website dieses Shops befindest und dass der Code aus echtem Marketingmaterial dieser Marke stammt – und nicht aus einem beliebigen öffentlichen Bereich.
Wie kann ich einen Quishing-Angriff verhindern oder melden?
Die beste Möglichkeit, Quishing auf deinem Handy zu erkennen, ist das Herunterladen eines Antivirenprogramms für Handys. Die kosten etwa 35 Euro im Jahr oder rund 40 US-Dollar. Such dir aber einen vertrauenswürdigen und zuverlässigen Antiviren-Dienst aus – und nicht einen, der dich selbst kontaktiert hat, denn das könnte ein Betrugsversuch sein. Und stell sicher, dass der Dienst in dem Land funktioniert, in dem du dich gerade befindest. Selbst seriöse Antivirenprogramme nehmen in Europa dein Geld, funktionieren aber außerhalb der USA nicht – und umgekehrt. Und du bekommst dein Geld nicht zurück. Vergewissere dich vor dem Kauf, dass der Dienst in deinem Land und auf deinem Gerät funktioniert.
Akzeptiere niemals zufällige Benachrichtigungen auf deinem Handy, in denen du aufgefordert wirst, irgendetwas zu bestätigen. Ignoriere sie einfach. Je mehr du davon bekommst, desto wahrscheinlicher ist es, dass jemand hinter dir her ist – aber er kann dir nichts anhaben, solange du ihm keine weiteren Informationen gibst. Das bedeutet nur, dass sie irgendwo an deine Handynummer oder E-Mail-Adresse gekommen sind. Sie rufen dich jetzt auch an, um Informationen zu erfragen, und nehmen deine Stimme für eine Sprachauthentifizierung mit „Ja“ oder „Nein“ auf. Das passiert sogar ohne QR-Codes, und geh sowieso nicht auf Anrufe von Automaten ein, die dich wahllos anrufen und nach Sachen fragen. Leg einfach auf.
Du kannst Phishing-Nachrichten beispielsweise bei deinem Finanzinstitut oder über die „Missbrauch melden“-Seiten auf Websites wie Google melden, falls jemand versucht hat, deren Anmeldeseite nachzuahmen. Auf jeder gängigen Social-Media-Seite gibt es Seiten zum Melden von Phishing – je nachdem, als was sich der bösartige QR-Code ausgegeben hat.
Wenn du glaubst, Opfer eines QR-Code-Phishing-Betrugs geworden zu sein, verlasse die Seite sofort. Gib keine deiner Daten weiter. Melde dich von einem anderen Gerät aus an und ändere deine Passwörter. Du kannst Sicherheitsscans durchführen und unbekannte Apps entfernen. Wende dich bei Bedarf an einen qualifizierten IT-Experten, der sich mit deinem Gerät auskennt. Geh nicht einfach zu einem gewöhnlichen Handyhändler, der keine Ahnung von IT hat. Du kannst auch 2FA oder MFA aktivieren.
Abschließende Gedanken zum Thema QR-Code-Phishing
Du solltest vorsichtig sein, woher du QR-Codes einscannst. Egal, ob du ein großes oder kleines Unternehmen hast – schau dir doch mal unsere Anwendungsbeispiele für QR-Codes und unsere Branchenseiten an, um interessante Ideen zu bekommen, wie du QR-Code Marketing auf deine Materialien. Das geht sicher und effektiv, und deine Kunden werden begeistert sein. Melde dich für eine Testversion bei unserem QR-Code-Generator und probier es selbst aus!
