Massenhaft genutzt: So tricksen Betrüger ihre Opfer bei beliebtem Verfahren aus

Vorsicht vor diesem Hackerangriff: Kriminelle nutzen ein bekanntes Tool für Phishing und Malware-Infektionen. So schützen Sie sich.

Hacker wollen mit allen Mitteln an Geld oder fremde Daten kommen - das ist hinlänglich bekannt. Das US-Computermagazin "Wired" warnte vor einigen Wochen davor, dass eine gängige Methode zum Aufrufen von Websites Smartphone-Nutzern gefährlich werden kann: QR-Codes (Englisch für: Quick Response = schnelle Antwort).

Beim Scannen eines solchen schwarz-weißen Musters erkennt das Smartphone die dahinter liegende URL, also die Adresse zu einer bestimmten Website. QR-Codes können zum Beispiel zu einem Standort auf Google Maps, einer App oder einem PDF-Download führen.

Dieses Prinzip nutzen beispielsweise Restaurants. Sie platzieren QR-Codes auf den Tischen und hinterlegen so ihre Speisekarte. Anwendungen wie Google Lens können einen QR-Code mit der Smartphone-Kamera in Sekundenschnelle lesen. Beim iPhone, aber auch vielen neueren Android-Handys, ist diese Funktion in der Kamera-App integriert.

Die Gefahr: Wer QR-Codes nach Lust und Laune scannt, könnte Betrügern zum Opfer fallen. "Wired" warnt, dass manche QR-Codes auf schädliche Webseiten führen, über die sensible Daten abgegriffen werden sollen. Diese Phishing-Masche mit QR-Codes wird auch "Quishing" genannt.

Sehen cool aus und funktionieren: Geniales KI-Tool zaubert besondere QR-Codes

Gefälschte Strafzettel: Polizei warnt vor falschen QR-Codes

Hinter QR-Codes können sich auch Phishing-Seiten verstecken.
Hinter QR-Codes können sich auch Phishing-Seiten verstecken.

Experten des IT-Unternehmens HP fanden 2022 im Rahmen der Wolf-Security-Studie heraus, dass QR-Codes als Köder eingesetzt werden können, um Kreditkartendaten zu stehlen. Betrüger geben sich dann beispielsweise als Paketzusteller aus und verschicken gefälschte E-Mails oder SMS, in denen sie eine Zahlung fordern.

Gefährlich wird es auch für Falschparker: Die Polizei setzt immer häufiger QR-Codes auf Strafzetteln ein, um Bürgern die Bezahlung des Bußgeldes zu erleichtern. Das haben Betrüger in der Vergangenheit ausgenutzt - und gefälschte Strafzettel mit QR-Codes an Windschutzscheiben angebracht.

Die Berliner Polizei warnte beispielsweise auf X (ehemals Twitter) vor gefälschten Strafzetteln, die Ende 2023 an mehreren Autos im Berliner Stadtteil Marzahn verteilt wurden. Auf den Zetteln befand sich ein QR-Code, über den die Zahlung eines Bußgeldes in Höhe von 25 Euro abgewickelt werden sollte. Die Berliner Polizei betitelte den Vorfall als Betrugsversuch.

Hacker-Kampagne bei Google: Neuartige Phishing-Idee wird für viele Nutzer zur Gefahr

Quishing per Mail: Achtung, nicht zum Scannen drängen lassen

Immer wieder landen schadhafte QR-Codes auch per E-Mail in den Postfächern ahnungsloser Nutzer. In den Nachrichten versuchen die Betrüger oft, Dringlichkeit zu vermitteln, etwa: "Scannen Sie diesen QR-Code, um die Löschung Ihres Kontos zu verhindern."

Auch zeitlich begrenzte Angebote oder eine angeblich dringende Identitätsprüfung per QR-Code können eine Falle sein. Wie bei herkömmlichen Phishing-Mails ist es auch hier wichtig, auf den Absender der Nachricht, Rechtschreibung und Logik (Habe ich überhaupt etwas bei DHL bestellt?) zu achten.

Wer QR-Codes über Apps wie Google Lens scannt, bekommt in der Regel die URL angezeigt, zu der die Adresse führt. Der Aufbau des Links kann ein erster Hinweis darauf sein, ob es sich um einen Phishing-Versuch handelt. Verweist er auf eine unbekannte Seite, ist Vorsicht geboten.

Mehr zu KI-Bildgeneratoren

Malware über QR-Codes: Reale Gefahr?

QR-Codes können auch Malware auf das Smartphone übertragen.
QR-Codes können auch Malware auf das Smartphone übertragen.

Neben Phishing-Attacken nutzen Cyberkriminelle QR-Codes auch zur Verbreitung von Malware, warnt die IEEE Computer Society. Durch das Scannen eines Codes infizieren sich Nutzer mit Schadsoftware. Das Institut schreibt, dass manchmal schon der Besuch einer Webseite ausreicht, um im Hintergrund den Download maliziöser Software auszulösen.

Die Malware kann Hintertüren für weitere Schadsoftware öffnen oder unbemerkt die Daten des Opfers stehlen und an Cyberkriminelle weiterleiten. Manchmal handelt es sich bei solchen Malware-Infektionen auch um Ransomware-Angriffe, bei denen Lösegeld gefordert wird.

In der Regel werden automatische Downloads von schädlichen Webseiten zwar durch die Sicherheitseinstellungen und vorinstallierten Antivirenprogramme der Smartphone-Hersteller blockiert. Dennoch stellen sie ein potenzielles Risiko dar.

Download: VirusTotal Mobile für Android

VirusTotal Mobile - Android App 2.3.9

Vertrauen ist gut, Kontrolle ist besser: Mit der kostenlosen "VirusTotal Mobile"-App nutzen Sie den beliebten Security-Dienst auch von Ihrem Android-Smartphone aus.
CHIP Bewertung: Sehr gut zum Download

Medusa-Attacke: Gefahr über In-App-Scanner

Gefährlich sind auch sogenannte "Medusa-Attacken", die auf in Apps integrierte QR-Scanner abzielen. Davor warnt eine internationale Forschergruppe der Advanced Computing Systems Association.

Denn obwohl die meisten Smartphones mittlerweile über vorinstallierte QR-Code-Scanner verfügen, verwenden einige App-Anbieter eigene QR-Code-Scanner. Zum Beispiel der beliebte Messenger WhatsApp: Durch das Ablesen eines QR-Codes in der Nachrichten-App können sich Nutzer im Webbrowser in ihr Konto einwählen, ohne Daten eingeben zu müssen.

In einem Test mit 800 Android- und iOS-Apps fanden die Forscher heraus, dass 123 Apps über eine Medusa-Attacke infiltriert werden können. 46 dieser Apps wiesen sogar kritische bis hohe Schwachstellen auf.

Dabei scannt der Nutzer einen manipulierten QR-Code über die App, die diesen fälschlicherweise als Aufforderung interpretiert, bestimmte Funktionen auszuführen. Der Angreifer kann unter Umständen die Kontrolle über die App erlangen. Dies wird auch als "QRjacking" bezeichnet.

Zerstören wir den PC? Wir haben mit Absicht schädliche Links und Anhänge geöffnet

So können Sie sich vor QR-Code-Hacking schützen

Um sich vor schädlichen QR-Codes zu schützen, sollten Nutzer einige Regeln befolgen. Punkt eins: Wer einen QR-Code geschickt bekommt, sollte misstrauisch sein.

Das gilt auch bei privaten Nachrichten über Messenger-Apps wie WhatsApp, Facebook oder Telegram. Freunde, Kollegen und Familienmitglieder könnten Opfer eines Hacking-Angriffs geworden sein. Wenn Betrüger Zugriff auf ein privates Konto bekommen, wird dieses häufig als Verteiler genutzt, um Phishing-Nachrichten an Kontakte weiterzuleiten.

Gerade, wenn die Person, von der Sie eine dubiose Nachricht erhalten haben, noch nie einen QR-Code an Sie verschickt hat, sollten die Alarmglocken läuten. Sehr wahrscheinlich handelt es sich um einen Betrugsversuch.

Zwei-Faktor-Authentifizierung einschalten

Durch Zwei-Faktor-Authentifizierung schützen Sie sich vor Phishing-Versuchen.
Durch Zwei-Faktor-Authentifizierung schützen Sie sich vor Phishing-Versuchen.

"Wired" empfiehlt Nutzern zum Schutz ihrer Konten außerdem, die Zwei-Faktor-Authentifizierung einzuschalten und sich zu versichern, dass Backup-E-Mail-Adressen und Telefonnummern zur Wiederherstellung des Accounts auf dem neusten Stand sind. So behalten sie auch bei einem möglichen Verlust des Passwortes Zugriff auf ihr Konto.

Wie auch zum Schutz vor herkömmlichen Phishing-Versuchen, sollte die Software auf Smartphones und Computern immer auf dem neuesten Stand sein. Mobile Webbrowser verfügen über eine integrierte Technologie zur Erkennung betrügerischer Links.

Je aktueller der Browser und das mobile Betriebssystem ist, desto größer sind die Chancen, eine Warnung auf dem Bildschirm zu erhalten, wenn eine unsichere Seite aufgerufen wird.

Wer QR-Codes im öffentlichen Raum scannt, zum Beispiel auf einem Werbeplakat oder in einem Restaurant, sollte außerdem überprüfen, ob die Muster von Dritten mit Aufklebern modifiziert oder vollständig überklebt wurden.

Andere Leser interessiert auch:


Dieser Artikel kann Partnerlinks enthalten, von denen Yahoo und/oder der Herausgeber möglicherweise eine Provision erhält, wenn Sie über diese Links ein Produkt oder eine Dienstleistung erwerben.