QR-Codes: Hackerangriffe leicht gemacht?

Foto: Shutterstock

Nicht zuletzt die Corona-Pandemie hat QR-Codes, die bis 2022 über fünf Milliarden Mal von mobilen Geräten aus gescannt oder aufgerufen werden dürften, in letzter Zeit eine weit größere Akzeptanz beschert als bislang. Doch wie sicher sind QR-Codes, insbesondere auch im Hinblick auf Hackerangriffe und wie lassen sich diese verhindern?

QR-Codes findet man häufig in der Werbung, auf Tickets, juristischen Dokumenten oder Formularen in der Gesundheitsbranche sowie Social Media Plattformen wie Facebook, WhatsApp und Snapchat. Zurzeit werden sie auch als Alternative zu Speisekarten in Restaurants verwendet.

Und man kann sogar mittels QR-Codes Geld überweisen. In China sind QR-Codes durch Apps wie beispielsweise WeChat inzwischen zu einem neuen de-facto-Standard geworden. Auch in Großbritannien sind sie mittlerweile weit verbreitet. Man findet sie häufig als Ausweis beim Zutritt zu Veranstaltungen oder um Coronavirus-Informationen für den National Health Service (NHS) zu erfassen.

Eine ähnliche Entwicklung konnte man in den USA beobachten. Während der Präsidentschaftswahlen wurden beispielsweise Flyer verteilt, mit denen die Bürgerinnen und Bürger anhand von QR-Codes überprüfen konnten, ob sie für die Wahl angemeldet waren. 

Sobald man einen QR-Code scannt, wird man aufgefordert eine externe Website aufzurufen. In der Regel gibt man dort seine Anmeldedaten ein oder sogar persönliche Informationen. So zahlreich, wie die Anwendungen sind leider auch die Sicherheitsrisiken im Zusammenhang mit der QR-Code-Technologie. Hacker machen sich diese Schwachstellen

bei Cyberangriffen, aber auch bei klassischen Formen des Online-Betrugs zunutze.

QR-Codes und Cyber-Angriffe 

Für Angreifer sind QR-Codes die perfekte Möglichkeit, mit wenig Aufwand viele potenzielle Opfer zu erreichen. Ein QR-Code-Angriff weist einige Ähnlichkeiten zu einem Phishing-Scam auf, unter modernen Hackern einer der beliebtesten Angriffsvektoren. 

Im Prinzip muss ein Hacker nur denselben Prozess wiederholen, um einen bösartigen QR-Code zu entwickeln. Phishing ist die am weitesten verbreitete und zudem leicht umsetzbare Taktik in Zusammenhang mit QR-Codes. Mittlerweile werden sogar spezielle QR-Code-Phishing-Kits im Darknet angeboten. Sie sind problemlos erhältlich, billig und leicht anzupassen. Hacker imitieren auf diese Weise weltweit bekannte und populäre Marken, um vertrauliche Kundeninformationen abzugreifen.

Für die geschilderten Anwendungsfälle ist es also vergleichsweise simpel einen dem legitimen QR-Code ähnlichen zu erstellen. Ziel ist es, Informationen abzuziehen einschließlich von personenbezogenen Daten (Personally-Identifiable-Information, PII-Daten). Solche mit einem „Call-To-Action“ verbundenen Sicherheitsprobleme sind weit verbreitet. Sobald ein ahnungsloser Benutzer mit einem Code oder Link interagiert, etwa  den Code scannt, wird der Angriff in Gang gesetzt. 

Ein Benutzer geht beispielsweise davon aus, sich bei einer legitimen Website anzumelden und den gewünschten Dienst zu aktivieren. Stattdessen haben Cyberkriminelle aber einen falschen QR-Code innerhalb der Website eingebettet. Darüber lassen sich die Nutzer auf andere, mit Sicherheitslücken behaftete Websites umleiten oder schädliche Downloads initiieren.

Auch E-Mails oder SMS-Nachrichten können bösartige QR-Codes enthalten, die potenziell das Gerät und die damit verbundenen Funktionen beeinträchtigen. Zudem sind Hacker dafür bekannt, gefälschte Tracking-Nachrichten mit QR-Codes zu versenden, um legitime Lieferdienste zu imitieren. Schon vor einiger Zeit warnte auch die Volksbank ihre Kunden in ganz Deutschland vor Phishing-Mails mit QR-Code. Folgt ein ahnungsloses Opfer der URL und gibt seine Anmeldedaten ein, versucht der Angreifer Zugriff auf personenbezogene Informationen zu erhalten oder eine Schadsoftware auf dem Gerät zu installieren.

Das sind allerdings nicht die einzigen Risiken in Bezug auf QR-Codes. Hier finden Sie ein Beispiel, wie QR-Codes gegen Datenschutzvorgaben verstoßen. Konkret, weil keine  geeigneten technischen und organisatorischen Maßnahmen nach DSGVO ergriffen wurden, um die hinterlegten Daten ausreichend zu schützen. In diesem Fall konnte praktisch jeder über einen einfachen, klassischen QR-Code-Scanner die Daten eines Fahrzeughalters ohne Einschränkungen aufrufen. 

Darüber hinaus werden QR-Codes auch im Bereich von Kryptowährungen eingesetzt. Hier ermöglichen es die Codes den Geräten, virtuelle Wallet-Adressen zu finden, um Bitcoins oder andere Kryptowährungen zu übertragen. Betrüger haben sehr schnell eine einfache Sicherheitslücke identifiziert, die für das Opfer extrem kostspielig werden kann. Fast jeder kann einen QR-Code erstellen. Von dort aus könnte man problemlos Geld an die Wallet-Adresse des Angreifers senden, anstatt an die vorgesehene. Leider ist es nicht ganz so einfach, einen bösartigen QR-Code von einem sicheren zu unterscheiden. Die Opfer sind oft komplett ahnungslos.

Schädliche Inhalte in QR-Codes unterzubringen, gelingt mit verhältnismäßig wenig Aufwand. Die inzwischen weit verbreitete Technologie bietet Hackern ausreichend Gelegenheit eigene Codes an bestehende anzupassen, ohne entdeckt zu werden. 

QR-Codes am Arbeitsplatz

Viele Nutzer verwenden ihre persönlichen Geräte, um sich von zuhause aus in das Netzwerk ihrer Firma einzuwählen – durch die flächendeckende Umstellung auf remote Working und Homeoffice ein alltägliches Phänomen. Gleichzeitig gehen damit etliche Probleme für die Gesamtsicherheit der Unternehmensinfrastruktur und sensible Datenbestände einher. Ein Mitarbeiter scannt möglicherweise unabsichtlich einen schädlichen QR-Code und gibt seine Anmeldedaten ahnungslos an einen Hacker weiter. Der kann so auf das Unternehmensnetzwerk zugreifen, weitere Anmeldedaten einsammeln oder Schadsoftware installieren und sensible Anwendungen und Systeme ausspionieren.  

Unternehmen, die QR-Codes verwenden, sollten hinsichtlich möglicher QR-Code-Scams besonders wachsam sein. Vor allem, angesichts der wachsenden Beliebtheit von QR-Codes. Ohnehin gehen viele Benutzer weiterhin mit ihren Mobilgeräten und Anwendungen zu sorglos um. Erschwerend kommt hinzu, dass sich Anzeichen für Phishing-Scams auf mobilen Endgeräten sehr viel schwerer zu erkennen sind. 

Wie verhindert man QR-Code-Angriffe?

Zunächst ist es wichtig, mehr Bewusstsein für die Problematik als solche zu schaffen. Sobald Benutzer über die Gefahren eines bösartigen QR-Codes Bescheid wissen und die Art der Angriffe besser verstehen, lassen diese sich deutlich verringern. Wer einen Code über ein mobiles Gerät scannt, sollte den URL-Link in der Benachrichtigung überprüfen. Sollte der Link verdächtig oder anders als erwartet aussehen, sollte man die Anwendung sofort schließen.

Wichtig ist, dass Benutzer bei QR-Codes mit derselben Vorsicht vorgehen, wie bei einem potenziellen Phishing-Link. Allerdings kann ein Angreifer praktisch jede URL so gestalten, dass sie zu einem QR-Code passt und umgekehrt. Es ist unter Umständen extrem schwierig, eine Fälschung von einem echten QR-Code zu unterscheiden. Selbst geschulte Fachleute sind davor nicht gefeit. Man sollte zusätzlich eine mobile Bedrohungsabwehr auf allen Endpunkten implementieren, um Benutzer vor der Interaktion mit bösartigen Websites, Apps oder Netzwerken zu schützen. Firmen sollten mobilen Endgeräten

die gleiche Aufmerksamkeit zuteilwerden lassen wie allen anderen Systemen auch. Erst recht, wenn sich eine Vielzahl von Geräten außerhalb des traditionellen Sicherheitsperimeters befindet. 

An dieser Situation wird sich so schnell nichts ändern. Auch daran nicht, dass private und berufliche Daten und Informationen auf ein und demselben Gerät koexistieren. Genau das macht sie für Angreifer so attraktiv. Unter diesen Voraussetzungen werden QR-Code-Angriffe uns mit ziemlicher Sicherheit noch eine Weile erhalten bleiben.

Autor ist Sascha Spangenberg von der IT-Sicherheitsfirma Lookout

0 Kommentare
Inline Feedbacks
View all comments
Weitere Artikel
Unternehmen im Fokus
  • Skyline bei Sonnenuntergang
Wissen, was los ist – mit den Newslettern von Cash.
Wissen, was los ist – mit den Newslettern von Cash.