Menü
Anzeige
IT-Sicherheit

Die Gefahr hinter QR-Codes

Anzeige
QR-Codes erfreuen sich wachsender Beliebtheit. Da man aber nicht erkennen kann, wohin die Codes tatsächlich verlinken, werden sie zunehmend für Social-Engineering-Attacken und Datendiebstahl missbraucht.

Sie halten, was ihr Name verspricht: Quick Response Codes liefern schnelle Antworten. Etwa auf Fragen zu Produktfunktionen oder Services der Hersteller. Sie liefern möglicherweise aber auch Gefahren für die Datensicherheit, warnen jetzt Security-Experten. Demnach können der Missbrauch der trendigen Zeichenketten für Social-Engineering-Angriffe und raffinierte Betrugsmaschen mit QR-Code-Scans nicht nur die persönlichen Daten einzelner Benutzer, sondern die Informationssicherheit ganzer Unternehmen gefährden.

Schnelle Antwort – schnelle Schwierigkeiten?

Um einen QR-Code ausfindig zu machen, muss man heutzutage nicht mehr lange suchen. Anfang der 90er-Jahre für Toyota zur Markierung von Baugruppen und Komponenten in der Automobilproduktion entwickelt, zieren die eckigen Barcodes heute jedes erdenkliche Konsumgut oder Dienstleistungsprodukt.

Die schwarzweiße Matrix findet sich auf Verpackungen, Postern und Plakatwänden, in Magazinen und Zeitungen – und wirkt recht unscheinbar. Dabei ist die Ansammlung aus kleinen Punkten und Quadraten nicht weniger als ein Sprungbrett von der Offline- in die Online-Welt.

Durch einfaches Scannen mit dem Smartphone, sogenanntes Mobile Tagging, befinden sich die Benutzer unvermittelt im weltweiten Web und können dort schnell und unkompliziert auf die Seiten und Inhalte zugreifen, die durch den QR-Code angestoßen werden. Für Vertriebs- und Marketing-Spezialisten hat sich damit ein Traum erfüllt: Sie können ihre Kunden und anvisierten Zielgruppen praktisch kostenfrei, aber sehr gezielt auf Informationen zu ihren Produkten und Services leiten.

Gefährlicher Komfort

Autorin: Christine Schönig - Technical Managerin beim Security-Spezialisten Check Point Software Technologies
Autorin: Christine Schönig - Technical Managerin beim Security-Spezialisten Check Point Software Technologies ©

Einer Studie von eBay zufolge ist das Potenzial, auf diesem Wege direkten Umsatz zu generieren, immens: 48 Prozent aller befragten Personen würden sofort online bestellen, wenn sie über einen QR-Code auf ein interessantes Produkt stoßen. Mutiert das pixelige QR-Quadrat auf seinem Erfolgszug also zum kleinsten Online-Shop der Welt? Mehr und mehr Hersteller jedenfalls wissen die Lösung als Umsatz-Turbo einzusetzen und die Benutzer genießen den schnellen, einfachen Scan- und Browse-Komfort, den so nur QR-Codes bieten.

Genau das macht die codierten Informationsträger aber auch interessant für Hacker. Sie machen sich die wachsende Popularität von QR-Codes zunutze, um sie für sogenannte Social-Engineering-Attacken zu missbrauchen. Von Social Engineering spricht man dann, wenn ein Angreifer menschliche Eigenschaften und Schwächen ausnutzt, um sich unrechtmäßig Informationen anzueignen. Die menschliche „Schwäche“ im Umgang mit QR-Codes ist zum einen die reine Neugier auf das, was passiert, wenn ein Code gelesen wird. Zum anderen ist es das Vertrauen, das für das Scannen der kleinen Quadrate praktisch Voraussetzung ist. Sie erwecken beim Benutzer den Eindruck, dass er der Integrität des Code-Anbieters Glauben schenken und davon ausgehen kann, dass die vom Code gewählte Zieladresse legitim ist.

Kleines Quadrat, große Angriffsfläche

Ob das tatsächlich so ist, kann der Einzelne nicht nachvollziehen: Die Webseiten und Inhalte, zu denen die Codes letztlich führen, sind in vielen kleinen Punkten versteckt. So haben Internet- Betrüger und Datendiebe ein leichtes Spiel, mobile Anwender auf schadhafte Websites oder zu Malware zu leiten.

Darüber hinaus haben sogenannte QRCode-Scanner für Smartphones oft eine direkte Verbindung zu anderen Smartphone-Funktionalitäten wie zum Beispiel E-Mail, SMS, lokalen Services und App- Installationen. Über diese Verbindungen werden nicht nur die potenziellen Risiken für die mobilen Geräte selbst erhöht, sondern eventuelle Viren, Würmer und Schadcodes bis ins Unternehmen hineingetragen. Das kleine Quadrat bietet dem Hacker also eine große Angriffsfläche.

IT-Sicherheit: "BYOD" stellt IT-Abteilungen vor Herausforderungen

Der erste Schritt einer Attacke ist die geschickte Verbreitung des Codes, um ihn an die potenziellen Opfer heranzubringen. Eine einfache, aber effiziente Verbreitungsmöglichkeit besteht in der Einbettung des Codes in eine E-Mail, wo er als Köder für einen Phishing-Angriff dienen kann. Bevorzugt werden schadhafte QR-Codes aber auf vertrauenswürdig erscheinenden Dokumenten verbreitet, etwa auf Flyern für Messen und Seminare oder in Form authentisch wirkender Gutscheine und Aufkleber, wie sie für bestimmte Werbemaßnahmen eingesetzt werden.

Schutz für die mobile Geldbörse

Ist der Code erst einmal im Umlauf, hat der Angreifer eine Vielzahl von Betrugsoptionen, unter denen er wählen kann. In der einfachsten Form kann der Code den Benutzer direkt auf falsche Webseiten und Online-Stores führen und dort zum Beispiel Kreditkarten-Informationen sammeln.

Raffiniertere Angriffe leiten den Benutzer zum Beispiel auf Websites, die am mobilen Endgerät einen Jailbreak vornehmen – also sämtliche Nutzungsbeschränkungen entfernen – und sich damit Zugriff auf das Betriebssystem verschaffen. Wie bei einem sogenannten Drive-by-Download kann der Hacker dann auf dem Endgerät ungehindert Schad-Software oder Applikationen wie Key Logger und GPS-Tracker installieren – natürlich ohne Kenntnis oder Zustimmung des Benutzers.

Das wohl größte potenzielle Risiko für den mobilen Anwender bringt die zunehmende Verbreitung von mobilem Online-Banking und von Zahlungen über das Smartphone mit sich. Damit enthält das mobile Gerät zahlreiche sensible Konto-, Kreditkarten- und Finanzinformationen.

Mithilfe von QR-Codes, die mobile Endgeräte „knacken“ und sich in Applikationen einnisten, können sich Hacker hier wie virtuelle Taschendiebe an den „mobilen Geldbörsen“ bedienen. Eine weitere Gefahr geht von bereits existierenden, QR-basierenden Zahlungslösungen aus. Diese werden zwar bislang noch wenig genutzt, dürften sich jedoch mit der zunehmenden öffentlichen Akzeptanz von QR-Codes rasch verbreiten.

Schlaue Scanner, schlaue Anwender

Die wichtigste Vorsichtsmaßnahme, um die Risiken der trendigen QR-Quadrate zu vermeiden, liegt in der frühzeitigen Enthüllung ihres Informationsgeheimnisses: Der Anwender sollte bereits beim Scannen einwandfrei feststellen können, welchen Link oder welche Quelle der Code aufrufen wird. 

Einige „schlaue“ QR-Code-Scanner bieten dem Benutzer die hierfür nötige Transparenz und fragen nach, ob er einen bestimmtem Link oder eine Aktion tatsächlich ausführen will. So hat der Anwender die Möglichkeit, die Validität eines Links besser einschätzen zu können, bevor der gescannte Code tatsächlich aktiviert wird.

Für Smartphones, die im Unternehmen eingesetzt werden, sollte eine Datenverschlüsselungslösung in Erwägung gezogen werden. So sind geschäftsrelevante Daten selbst dann geschützt und nicht von Hackern nutzbar, wenn ein schadhafter QR-Code auf dem Endgerät einen Trojaner oder andere Malware installieren konnte.

Wie in allen Bereichen der Sicherheit gilt vor allem auch bei der Verschlüsselung von Smartphones: Der Anwender muss dafür sensibilisiert werden. Sicherheit ist kein notwendiges Übel, sondern liefert die notwendige Basis für viele Dienste, insbesondere für das mobile Arbeiten.

Ebenso selbstverständlich, wie für die Benutzer die SSL-Verschlüsselung von Informationen beim Homebanking geworden ist, sollte auch der Schutz solch sensibler Daten auf dem Mobiltelefon sein. Kontinuierliche Aufklärung und eine umfassende, unternehmensweit integrierte Sicherheitslösung schieben auch neuen Gefahren wie bösartigen QR-Codes erfolgreich einen Riegel vor.

comments powered by Disqus
x