Gekaperte Plakate: Warnung vor QR-Code-Phishing

Von Thorsten Neuhetzki

QR-Code zum Testen Ihrer Handy-Software (verweist via goo.gl auf mobil.teltarif.de) QR-Codes sind für viele Smartphone-Nutzer inzwischen selbstverständlich geworden. Ob in einem Blog, einer Zeitung oder auf einem Werbeplakat - überall sind die Codes zu finden, die einen ohne die langwierige Eingabe von von URLs zu mehr Informationen bringen. Egal ob ein Link zu einem Appstore, zu einem Video oder einem Online-Artikel, vieles lässt sich in dem Code "verstecken". Das machen sich nun nach einem Bericht von "The Register" unter Berufung auf Symantec Betrüger zu nutzen, die sich an Plakaten in öffentlichen Bereichen zu schaffen machen und diese mit gefälschten QR-Codes manipulieren.

Die Fälscher würden demnach über die echten QR-Codes Aufkleber mit ihren eigenen kleben. Nur bei genauerem Hinsehen sei das zu erkennen. Hinter dem Code kann sich dann zum Beispiel plötzlich statt einem Link zum kostenlosen WLAN im Flughafen eine Schadsoftware auf sein Handy gelangen, die beispielsweise mTANs auslesen könnte, 0900-Nummern anruft oder das Handy anderweitig infiziert. Auch wäre denkbar, dass statt eines eigentlich aufgerufenen Formulars ein gefälschtes aufgerufen wird, in das ein Nutzer dann guten Glaubens seinen kompletten Datensatz einträgt um weitere Informationen zu bekommen. Solche Datensätze lassen sich in einschlägigen Kreisen für gutes Geld verkaufen.

Aufkleber kapern Plakate

Die Manipulationen zu erkennen ist jedoch vergleichsweise einfach. So hilft es beispielsweise, einen genauen Blick auf das Plakat oder Schild zu werfen. Ist der QR-Code hier nur auf einem Aufkleber, sollte der Code lieber nicht gescannt werden. Auch hilft es, eine Scanner-App zu verwenden, die erst einmal anzeigt, was sie gescannt hat, bevor sie die entsprechende Seite aufruft. So würden gefakte URLs bei vorherigem Betrachten der entsprechenden Adresse auffallen und der Nutzer könnte den Vorgang abbrechen. Auch die Anwahl einer Telefonnummer kann so unterbunden werden. Einen fälschungssicheren QR-Code gibt es nicht. Allerdings kann man davon ausgehen, dass QR-Codes in Tageszeitungen - wie etwa bei Welt Kompakt - nicht bösartig sind, solange sie nicht überklebt sind.

Wenn Sie wissen wollen, was Ihr Handy beim Scannen eines QR-Codes macht, scannen Sie den Code in diesem Artikel. Er leitet sie auf die Mobil-Seite von teltarif.de. Durch die Anzeige der URL bzw. der Telefonnummer haben Sie die Möglichkeit, sich vor gefäschten QR-Codes zu schützen, wenn Sie nicht alle Domains einfach bestätigen. Ruft Ihr Handy beim Scannen des Codes direkt die teltarif-Seite auf, so sollten Sie sich einen alternativen Barcode-Scanner installieren, der die entsprechende Funktion bietet. Unser QR-Code funktioniert über den URL-Shortener von Google, so dass Sie auch testen können, ob Kurz-URLs vor dem Aufrufen decodiert werden.

Weitere Meldungen zum Thema Sicherheit