QR-Codes: Geradewegs in die Phishing-Falle

05.04.2019
G DATA Blog

Professionell geschriebene Texte, stimmiges Aussehen, korrekte Ansprache: Phishing zu erkennen ist in den letzten Jahren schwieriger geworden. QR-Codes machen es hingegen unmöglich, bösartige Webseiten auf den ersten Blick zu erkennen. G DATA bietet iOS-Nutzern jetzt eine Lösung.

Schnell passiert

Wer bereits auf Phishing-Nachrichten eingegangen ist, weiß, wie einfach es ist, darauf herein zu fallen. Einmal nicht aufgepasst und schon hat ein Unbekannter die Zugangsdaten zum Mailpostfach oder zum Google-Konto. Schon bei Mails ist es oftmals schwer, einen Phishingversuch zu entdecken, denn die Phisher werden immer besser beim Verfassen ihrer elektronischen Post. Eine professionell verfasste Nachricht gepaart mit bewährten Social Engineering-Taktiken, wie dem Schüren von Angst und das Erwecken von Neugier, ist hier allen Möglichkeiten Tür und Tor geöffnet.

Ameisenhaufen und Phishing

Hier kommen QR-Codes ins Spiel. Sie sind immer öfter zu finden, ob in öffentlichen Verkehrsmitteln, auf Werbeplakaten, auf Messen oder in Geschäften. Es ist allerdings unmöglich, vom „Ameisenhaufen“ eines QR-Codes auf dessen tatsächlichen Inhalt zu schließen. Hierfür ist ein Lesegerät notwendig, wie es Millionen Menschen jeden Tag in der Tasche tragen: Das Smartphone. Viele aktuelle Modelle haben einen QR-Code-Scanner in der Kamerafunktion integriert, sodass ein Nutzer nur die Kamera in die richtige Position bewegen muss, um den QR-Code zu lesen. Und die meisten Smartphones mit dieser Funktion öffnen dann auch direkt die Webseite oder die App, die im QR-Code enthalten ist. Auf älteren Geräten ist oft ein separater QR-Code-Leser installiert.

Eine Frage des Formats

Wer durch einen bösartigen Link auf einer gut gemachten Phishingseite landet, befindet sich jetzt in einer gefährlichen Lage: Die Adresszeile in einem Mobilbrowser zeigt nur einen Teil der Internetadresse an. Sieht dieser kurze sichtbare Abschnitt überzeugend genug aus, ist die Wahrscheinlichkeit hoch, dass ein Nutzer hier auf das Phishing hereinfällt.

Vorsicht ist besser als Nachsicht

Ebenso wie bei Barcodes muss auch der Text, der unter einem QR-Code steht, nichts mit dem Inhalt des QR-Codes zu tun haben. Der Text ist frei wählbar und wird von einem QR-Code-Scanner ohnehin nicht gelesen. Um einen Phishingversuch hier zuverlässig zu erkennen, sollten Nutzer auf eine entsprechende App vertrauen.
G DATA bietet jetzt bei seiner Internet Security iOS die neue Funktion „Secure QR“ zum Schutz vor Phishing an. Dabei wird ein QR-Code zuerst auf das Vorhandensein einer Adresse geprüft. Enthält der gescannte Code eine Webadresse, dann wird diese einer genauen Prüfung unterzogen, um festzustellen, ob dahinter beispielsweise ein Schadprogramm steckt oder ob die URL unbedenklich ist. Stellt der Scanner fest, dass sich hinter einem QR-Code eine bösartige Seite befindet, zeigt er eine entsprechende Warnung an. Die Wahrscheinlichkeit, beispielsweise über einen QR-Code auf einer Phishingseite zu landen, sinkt auf diese Weise dramatisch.
Für Android-Nutzer gibt es mit dem G DATA QR Code Scanner natürlich auch eine passende Lösung zum Schutz vor bösartigen Webseiten.

Tim Berghoff
Security Evangelist

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein