Vorsicht vor Betrug mit bösartigen QR-Codes

Die US-amerikanische Federal Trade Commission (FTC) warnt vor dem Erhalt seltsamer E-Mails oder Nachrichten, in denen Nutzer aufgefordert werden, QR-Codes zu scannen, weil sie ungewöhnliche Zeichen in ihren Konten oder Probleme mit ihren Lieferaufträgen aufweisen. Diese bösartigen QR-Codes leiten Nutzer auf gefälschte Websites um, um persönliche Informationen zu stehlen.

Kern Smith, Vizepräsident des mobilen Sicherheitsunternehmens Zimperium, sagte, dass Angriffe auf Mobiltelefone exponentiell zunehmen, weil die Anti-Phishing-Systeme vieler Unternehmen nicht in der Lage seien, gefälschte QR-Codes zu stoppen.

QR-Code-basierte Angriffe sind nichts Neues, aber Kriminelle nutzen diese ausgeklügelte Taktik zunehmend, sagt Shyava Tripathi, Forscherin beim Cybersicherheitsunternehmen Trellix. Allein im dritten Quartal 2023 entdeckte Trellix mehr als 60.000 bösartige QR-Code-Beispiele.

In mehreren Städten in Texas (USA) hat die Polizei gefälschte QR-Codes auf Parkuhren entdeckt, die auf eine gefälschte Bezahlseite verwiesen. Beim Bezahlen wird das Geld auf das Konto des Betrügers überwiesen, und es besteht die Gefahr, dass Anmeldedaten gestohlen werden.

Laut The Independent verlor eine 71-jährige Frau in Großbritannien 13.000 Pfund, nachdem ihre Zahlungskartendaten durch das Scannen eines gefälschten QR-Codes preisgegeben wurden. Obwohl die von ihr genutzte Bank eine Reihe gefälschter Transaktionen blockierte, rief der Betrüger das Opfer weiterhin an, gab sich als Bankangestellte aus und überredete sie, weitere Informationen preiszugeben. Nachdem der Betrüger die Informationen erfolgreich gestohlen hatte, eröffnete er ein neues Konto, um Geld zu leihen und eine Kreditkarte unter der Identität des Opfers zu erstellen.

Steve Jeffery, Ingenieur beim globalen Cybersicherheits- und Automatisierungsunternehmen Fortra, sagte, dass die meisten E-Mail-Sicherheitssysteme den Inhalt von QR-Codes nicht überprüfen, was es schwierig mache, Phishing-Angriffe zu verhindern. Anstatt direkte Links zu versenden, versenden Kriminelle Links über QR-Codes.

Laut einem Bericht des Sicherheits- und Risikomanagementunternehmens Reliaquest stiegen die QR-Code-Betrügereien im September im Vergleich zu den vorangegangenen acht Monaten um 51 Prozent. Der Anstieg ist auf die Popularität von Smartphones und die mangelnde Wachsamkeit der Nutzer beim Scannen von QR-Codes zurückzuführen.

Laut The Verge empfiehlt die FTC Nutzern, ihre Geräte regelmäßig zu aktualisieren, sichere Passwörter zu erstellen und für wichtige Konten eine Multi-Faktor-Authentifizierung einzurichten. Nutzer sollten keine Apps zum Scannen von QR-Codes herunterladen, da die Kamera-Apps von Android und iOS diese Funktion bereits integriert haben. Nutzer sollten außerdem den Namen des Links vor dem Anklicken sorgfältig prüfen, da Kriminelle Buchstaben austauschen können, die vom ursprünglichen Namen abweichen.