Key Takeaways
- QR-Codes sind genauso gefährlich wie schädliche Links in E-Mails.
- Diese Codes enth alten Links, mit denen Sie Apps öffnen, Anrufe tätigen, Ihren Standort teilen und vieles mehr können.
- Schützen Sie sich, indem Sie QR-Codes vermeiden und stattdessen einen Link verwenden.
Anstatt mit bloßen Händen eine schmutzige Speisekarte in die Hand zu nehmen, haben wir uns an die Hygiene von QR-Codes gewöhnt. Aber diese können etwas schmutziger und viel gefährlicher sein, als Sie vielleicht denken.
Im Jahr 2015 scannte ein deutscher Ketchup-Liebhaber den QR-Code auf seiner Heinz-Flasche und wurde direkt auf eine Pornoseite weitergeleitet. Das könnte peinlich sein, aber das blinde Scannen von QR-Codes hat schlimmere Folgen. Laut dem Passwort-Manager-Dienst 1Password können QR-Codes Telefonanrufe auslösen, Ihren Standort verraten, einen Telefonanruf starten, der Ihre Anrufer-ID preisgibt, und vieles mehr. Was können wir also dagegen tun?
"Wir sind alle daran gewöhnt, einen QR-Code zu scannen, um ein Menü zu durchsuchen oder sogar unsere Rechnungen zu bezahlen, und Cyberkriminelle nutzen dies jetzt durch die Verwendung bösartiger QR-Codes", Craig Lurey, Cybersicherheitsexperte und Co -Gründer von Keeper Security, teilte Lifewire per E-Mail mit. „Was also wie ein Code zum Bezahlen einer Parkuhr aussehen mag, und die Seite wird unglaublich seriös aussehen, Sie geben Ihre Kreditkartendaten direkt in die Datenbank eines Diebes ein.“
Schlechte Links
Ein QR-Code ist nur eine Verknüpfung zu einem Link, der von der Kamera Ihres Telefons gelesen und dann dekodiert werden kann. Wir alle wurden darauf trainiert, niemals auf einen Link in einer E-Mail zu klicken, selbst wenn er echt aussieht. Aber QR-Code-Links sind genauso gefährlich und haben das zusätzliche Problem, dass Sie nicht sehen können, wohin sie führen, bis Sie sie scannen.
Wenn wir an Links denken, denken wir an URLs, die uns zu Websites führen. Und im Fall des Heinz-Ketchup-Porno-Hacks war das das Problem – Heinz ließ den Domainnamen verfallen, und jemand anderes kaufte ihn und lud ihn dann mit schmutzigen Bildern. URLs sind gefährlich, wie Lureys Parkuhr-Phishing-Betrug zeigt, aber Links können noch viel mehr.
"Eines der größten Probleme ist, dass QR-Links zu verkürzten URLs im Gegensatz zu Websites selten den Firmennamen identifizieren", sagte Monti Knode, ehemaliger Kommandeur der 67. Cyberspace Operations Group der USAF, Lifewire per E-Mail. „Eine Person klickt darauf und nimmt an, dass es ein Restaurantmenü, eine Konferenzagenda oder sogar einen Link für wohltätige Zwecke enthält, und es könnte sich sehr gut um eine gefälschte Website oder einen böswilligen Link handeln, der Code auf Ihren Computer oder Ihr Mobilgerät herunterlädt."
Auf unseren Telefonen können Links Apps auslösen. In der Karten-App öffnet sich beispielsweise ein Google Maps-Link. Links können auch Telefonanrufe auslösen, Kontakte zu Ihrem Adressbuch hinzufügen (und dadurch zukünftige Anrufe und E-Mails legitim erscheinen lassen), sie können Ihren Standort teilen und vieles mehr.
Ein genialer Betrug besteht darin, dass ein Taugenichts einen existierenden, legitimen QR-Code modifiziert und diesen verwendet, um Opfer umzuleiten. Der Werbetreibende Robert Barrows hat eine Geschichte über seinen Video Enhanced Gravemarker geteilt.
"Mir wurde klar, dass es mehrere Probleme mit QR-Codes auf Grabsteinen geben könnte", teilte Barrows Lifewire per E-Mail mit. „Was passiert, wenn die Tinte auf dem QR-Code mit der Zeit verblasst? Verlinken Sie am Ende auf eine ganz andere Website? Was passiert, wenn jemand den QR-Code mit einem Marker ändert?“
Dasselbe könnte mit Werbeplakaten, Speisekarten oder QR-Codes passieren.
Sich schützen
Der erste Schritt, um sich selbst zu schützen, ist, sich dessen bewusst zu sein. Scannen Sie niemals einen QR-Code, wenn Sie nicht sicher sind, dass er sicher ist. Was wirklich bedeutet, niemals einen QR-Code scannen.
Aber wenn Sie scannen müssen, um in einem Restaurant oder einer Bar einzuchecken oder eine Speisekarte anzuzeigen, vergewissern Sie sich zuerst, dass der Code nicht manipuliert oder mit einem Aufkleber eines anderen QR-Codes verdeckt wurde. Ein Tipp ist, das automatische Scannen von QR-Codes in den Einstellungen Ihres Telefons nach Möglichkeit auszusch alten. Aber wirklich, der beste Schutz ist, vorsichtig zu sein.
"Wenn möglich, lauten die Empfehlungen, genau wie bei potenziellen Phishing-Links, direkt auf die Website des Anbieters zu gehen, um die gesuchten Informationen abzurufen", sagte Dave Cundiff, CISO des Cybersicherheitsunternehmens Cyvatar, Lifewire per E-Mail. „In den meisten Fällen werden die Informationen im Web gehostet und sind irgendwo direkt auf der Website des Anbieters zugänglich.“
Wenn der Link nicht verfügbar ist, scannen Sie ihn nicht. Es ist viel weniger bequem, aber nicht so unbequem, als sich tage- oder wochenlang mit den Folgen eines bösartigen Links zu befassen.
