Prof. Dr. Norbert Pohlmann Home Logo Mobile
Logo-Glossar
slider

QR-Code-Phishing - Prof. Dr. Norbert Pohlmann

QR-Code-Phishing

QR-Code-Phishing

Was ist QR-Code-Phishing?


QR-Code-Phishing, QR-Phishing oder auch Quishing ist ein Angriff, bei dem Opfern ein Link zu einer Phishing-Seite als QR-Code zugespielt wird. Somit handelt es sich um eine Unterart von Phishing-Angriffen, die insbesondere auf Nutzerinnen von Smartphones abzielt.


Quishing

Wie bei anderen Formen von Phishing, erstellen Angreifer meist im Vorfeld eine Webseite, die in Gestaltung und Aufbau einer legitimen Seite genau gleicht. Insbesondere Eingabemasken wie Login-Formulare werden originalgetreu nachgebaut. Die URL der Seite wird anschließend als QR-Code kodiert und potenziellen Opfern zum Beispiel in E-Mails, Aufkleber im öffentlichen Raum oder auf Briefen präsentiert. Scannt ein Opfer den QR-Code und öffnet den darin befindlichen Link, wird es auf die Phishing-Seite geleitet. Alle hier eingegebenen Informationen, wie E-Mail-Adressen, Passwörter, Namen und weitere personenbezogene Daten, können vom Angreifer abgegriffen werden. Um eine Erkennung des Angriffs zu erschweren, kann die Phishing-Seite teilweise so umgesetzt werden, dass zum Beispiel nach einem „Login“ auf der Webseite des Angreifers das Opfer so auf die legitime Seite weitergeleitet wird, dass es dort auch tatsächlich eingeloggt ist. Somit wird die Funktionalität aus Sicht des Opfers nicht beeinträchtigt, die eingegebenen Daten sind dennoch durch den Angreifer erfolgreich abgegriffen worden.


Unterschiede zu klassischem Phishing

Im Wesentlichen können Angreifer beim QR-Code-Phishing auf die gleichen Methoden aufsetzen, die auch beim klassischen Phishing Anwendung finden. Die Nutzung von QR-Codes erlaubt allerdings, etablierte Sicherheits-Mechanismen und -Verhalten zu umgehen und ermöglicht zudem einen Medienbruch, der in früheren Szenarien nur schwer durchführbar war. So können sich QR-Codes mit Links zu präparierten Webseiten leicht auf Plakaten, Speisekarten, Broschüren und vielem anderen finden. Selbst vollständig ohne Kontext angebrachte Codes auf Hauswänden haben in manchen Fällen schon dazu geführt, dass neugierige Nutzerinnen den vermeintlich harmlosen QR-Code gescannt haben und das entsprechende Endgerät mit Malware infiziert wurde.

Auch Dokumente, die ursprünglich über keinen QR-Code verfügen, können ggf. nachträglich von Angreifern mit einem solchen versehen werden, sodass potenziellen Opfern ein falscher Kontext suggeriert wird. Durch die Tatsache, dass QR-Codes typischerweise mit einem anderen Gerät gescannt werden, als zur Anzeige verwendet wird, lassen sich zudem teilweise bestehende Sicherheitsmechanismen wie E-Mail-Filter umgehen.

QR-Codes können so wie klassische Phishing-Links per E-Mail versendet und auf Webseiten eingebettet werden. Der entscheidende Unterschied zu schadhaften Links ist die Kodierung, die von Menschen im Gegensatz zu textuell dargestellten Links nicht gelesen werden kann. Es wird zunächst eine Dekodierung durch einen QR-Code-Scanner, beispielsweise einer Kamera-App mit entsprechender Funktionalität, benötigt. Viele Apps öffnen jedoch in QR-Codes enthaltene Links automatisch mit dem Browser, ohne dass Nutzerinnen diese vorher sichten können. Durch diese „Convenience“-Funktion entsteht ein hohes Missbrauchspotenzial, da eine der wichtigsten Sicherheitsmaßnahmen – jeden Link vor der Öffnung genau zu prüfen – hiermit unmöglich gemacht wird.


Bedrohung durch Quishing

Phishing zielt meistens darauf ab, Informationen abzugreifen, Zugangsdaten zu stehlen oder Malware zu verteilen. Diese Bedrohungen existieren damit genauso, wenn es sich um QR-Code-Phishing handelt. Eine starke Bedrohung geht davon aus, dass Links vor der Öffnung oft nicht gesichtet werden können, wenn eine QR-Code-Scanner-App diese nach dem Dekodieren automatisch öffnet. Zudem werden QR-Codes im Normalfall mit einem Smartphone oder Tablet gescannt, auch wenn andere Gerätearten prinzipiell dazu in der Lage sein können.

Eine Verteidigungsstrategie gegen Phishing, die seit jeher beispielsweise im Zuge von Sicherheitsschulungen vermittelt wird, ist die genaue Prüfung von Links, bevor diese geöffnet werden. Viele Apps lassen diese Prüfung erst gar nicht zu und machen Nutzerinnen damit besonders angreifbar. Zusätzlich ist die Prüfung, gerade von langen Links, schon bei der Verwendung von großen Endgeräten oft unbequem, wird aber durch die eingeschränkte Displaygröße von Mobilgeräten zu einer Hürde, die nur selten überwunden wird.

Außerdem stellen manche mobilen Browser Zertifikatsinformationen nur eingeschränkt zur Verfügung, sodass auch eine Prüfung des verwendeten TLS-Zertifikats erschwert wird. Schwachstellen im verwendeten Browser können auch genutzt werden, um Malware durch Drive-By-Downloads zu verteilen. In solchen Fällen kann schon der Besuch einer Webseite zu einer Infektion des Gerätes führen.

Zuletzt kann auch der QR-Code-Scanner selbst angegriffen werden. Wenn die Implementierung der App Fehler enthält, können diese teilweise mit Hilfe der im QR-Code enthaltenen Daten ausgenutzt werden. Beispielsweise können deutlich mehr Daten in einem QR-Code enthalten sein, als URLs normalerweise zulassen würden, was in manchen Fällen für Angriffe mit Hilfe von Pufferüberläufen genutzt werden kann.


Sicherheitsmaßnahmen gegen QR-Code-Phishing

  • Keine QR-Codes von unbekannten Quellen:
    Beim Scannen von QR-Codes sollte darauf geachtet werden, dass diese von vertrauenswürdigen Quellen stammen. Ein ohne jeglichen Kontext an einer Hauswand angebrachter Code sollte beispielsweise nicht einfach so gescannt werden. Prinzipiell sollte ein QR-Code wie ein Link betrachtet und mit derselben Vorsicht behandelt werden.
  • Nutzung von vertrauenswürdigen Apps, die in QR-Codes eingebettete URLs nicht automatisch öffnen:
    Das Angebot an Apps, die QR-Codes verarbeiten können, ist vielfältig. Hierbei sollte darauf geachtet werden, dass nur vertrauenswürdige Hersteller in Betracht gezogen werden. Wenn eine App die Möglichkeit zulässt, die dekodierten Daten einzusehen, bevor ein Browser geöffnet wird, sollte diese gegenüber automatisch verarbeitenden Varianten bevorzugt werden.
  • Genaue Prüfung der URL:
    Wie bei jedem Link sollte auch bei der Verwendung von QR-Codes als Medium darauf geachtet werden, welche URL tatsächlich aufgerufen wird und ob diese von der erwarteten Adresse abweicht. Falls die Adresse im Vorfeld nicht bekannt ist, sollte gewissenhaft geprüft werden, ob es sich um eine in dem jeweiligen Kontext stimmige URL handelt. Wenn möglich, sollte diese Prüfung erfolgen, bevor die entsprechende Webseite geöffnet wird.
  • Prüfung des TLS-Zertifikats, insbesondere des Domain-Namen:
    Wenn ein Link durch einen QR-Code geöffnet wurde, sollte die Domain und das dazugehörige Zertifikat gewissenhaft geprüft werden. Dieser Schritt ist zwar für viele Nutzerinnen unbequem, trägt aber signifikant zur Sicherheit bei. Im TLS-Zertifikat sollte insbesondere geprüft werden, ob es sich um die erwartete Domain handelt und nicht beispielsweise eine kodierte Variante verwendet wird, in der lateinische Buchstaben durch Sonderzeichen ersetzt werden. Diese Verschleierungstaktik wird oft bei Phishing-Seiten angewendet, da bspw. ein kyrillisches a optisch einem lateinischen gleicht. Sonderzeichen müssen in Zertifikaten kodiert werden, sodass ein Unterschied hier besonders auffällig ist.
  • Basis-Sicherheits-Vorkehrungen:
    • Betriebssystem aktuell halten
    • App-Updates installieren
    • Apps nur aus vertrauenswürdigen Quellen installieren. Eine Prüfung bspw. durch Google/Apple kann helfen, die Qualität der verwendeten App auf ein Mindestmaß zu heben. Apps, die über andere Wege verteilt werden, werden ggf. weniger stark geprüft und können neben Fehlern auch selbst Malware enthalten, was unter Umständen weniger schnell auffällt.


Weitere Informationen zum Begriff “QR-Code-Phishing”:


Artikel


Denken in Fallen – Wie kognitive Verzerrungen Sicherheitsentscheidungen sabotieren

Different Seas, Different Phishes – Large-Scale Analysis of Phishing Simulations Across Different Industries

Smartphone-Apps Kontaktieren im Schnitt 25 Server und durchqueren sechs Netzwerke

Integration einer Software Bill of Materials in die Backend-Entwicklung


Bücher


Lehrbuch Cyber-Sicherheit

Übungsaufgaben und Ergebnisse zu Kapitel 5: Identifikation und Authentifikation

Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download


Vorlesungen


Vorlesungen zum Lehrbuch Cyber-Sicherheit

Cyber-Resilienz – Idee und Umsetzung

Aktuelle Cybersicherheitslage und Cyber-Sicherheitsstrategien

Souveräne Datenräume als Treiber für Resilienz und KI-Innovationen


WEBSEITEN


Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Marktplatz IT-Sicherheit

Marktplatz IT-Sicherheit: IT-Notfall

Marktplatz IT-Sicherheit: IT-Sicherheitstools

Marktplatz IT-Sicherheit: Selbstlernangebot

Marktplatz IT-Sicherheit: Köpfe der IT-Sicherheit

Vertrauenswürdigkeits-Plattform


Glossar


Phishing

Cyber-Sicherheit

Cyber-Sicherheitsstrategie

Cyber-Sicherheitsmaßnahmen

Drive-By-Download

Malware


Zurück zur Übersicht




Summary
QR-Code-Phishing
Article Name
QR-Code-Phishing
Description
QR-Code-Phishing nutzt die Verschleierung von Daten mittels QR-Codes, um Opfer auf Phishing-Seiten zu leiten und Daten abzugreifen sowie Malware zu verteilen
Author
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
QR-Code-Phishing
QR-Code-Phishing Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten