Verseuchte QR-Codes infizieren Smartphones

[English]Sicherheitsforscher von Check Point beobachten einen neuen Trend unter Hackern: Sie versuchen, über infizierte QR-Codes vermehrt Zugangsdaten zu stehlen oder betrügerische Anwendungen und Malware auf die Mobiltelefone der Benutzer zu laden.


Anzeige

Check Point, warnt vor gefälschten QR-Codes

Der Anbieter von Cyber-Sicherheitslösungen, Check Point, gibt an, dass die Nutzung von QR-Codes während der Covid-19-Krise explodiert ist. Hysterie bezüglich der Übertragung von Covid-19 durch Berührung hat dazu geführt, dass Restaurants nun QR-Codes eingeführt haben. Kunden können mit ihrem Smartphone in Speisekarten blättern oder kontaktlose Zahlungen vornehmen. Außerdem kommen QR-Codes am Eingang von Veranstaltung zur Kontaktverfolgung zum Einsatz.

Hacker versuchen, die Popularität von QR-Codes auszunutzen und ersetzen echte QR-Codes durch verseuchte. Diese öffnen entweder eine infizierte Internet-Adresse oder versuchen, Malware auf das Smartphone herunterzuladen, wenn die QR-Codes eingelesen werden.

Anfang 2020 gab die belgische Bundespolizei eine Warnung über einen Online-Betrug mit QR-Codes heraus. Der gefälschte Code griff hier auf die Anmeldedaten der Nutzer zu, die für andere Anwendungen auf dem Telefon verwendet werden, wie Bank- und Shopping-Apps. Ziel war es außerdem, heimlich Geld-Transaktionen auszulösen. Die ING Bank in den Niederlanden warnte ebenso vor falschen QR-Codes, deren Funktion es ist, eine zweite Person – den Hacker – über die Telefon-App der ING Bank mit den ING-Konten der Kunden zu verbinden.

Kein Schutz vor Malware

Eine kürzlich von MobileIron durchgeführte Umfrage ergab, dass von März bis September 2020 rund 38 Prozent der Befragten einen QR-Code in einem Restaurant, einer Bar oder einem Café eingelesen haben und 37 Prozent im Einzelhandel. Mehr als die Hälfte (51 Prozent) der Befragten berichteten, dass sie keine Sicherheits-Software auf ihren Telefonen installiert haben oder nicht wissen, ob eine vorhanden ist. In vielen Fällen enthalten diese Smartphones sowohl persönliche als auch geschäftliche Anwendungen und Daten, wodurch Unternehmen einem erhöhten Risiko ausgesetzt sind. Der Cyber Security Report 2020 von Check Point zeigt, dass 27 Prozent der Organisationen weltweit von Cyber-Angriffen über Mobiltelefone betroffen waren und 34 Prozent direkt von mobiler Malware.

„Wir alle dürfen nicht vergessen, dass ein QR-Code nichts anderes als eine schnelle und bequeme Möglichkeit ist, auf eine Online-Ressource zuzugreifen, und wir können erst dann sicher sein, dass diese Ressource echt ist, wenn wir den Code eingelesen haben. Das aber bedeutet, dass ein Angriff gegebenenfalls schon begonnen hat, während wir noch die Echtheit des QR-Codes prüfen", erklärt Christine Schönig, Regional Director Security Engineering CER, Office of the CTO – Check Point Software Technologies GmbH. „QR-Codes sind nicht von Natur aus sicher oder vertrauenswürdig – das sollte jeder bedenken – und Hacker wissen, dass die Mehrheit der Menschen nur wenig oder gar keine Sicherheits-Software auf ihren Handys installiert. Daher raten wir dringend, eine Sicherheitslösung für Smartphones zu verwenden, um die Geräte und Daten vor Phishing, betrügerischen Anwendungen und Malware zu schützen – und eben vor gefährlichen QR-Codes."

Anmerkung: Die Informationen in obigem Text sind mir über CheckPoint zugegangen. Check Point bietet passenderweise Handy-Sicherheitslösungen für Unternehmensgeräte und private Smartphones an. Es gibt aber auch andere Sicherheitsanbieter, die entsprechende Lösungen für Mobilgeräte anbieten.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Verseuchte QR-Codes infizieren Smartphones

  1. Dat Bundesferkel sagt:

    Hat ja ganz schön lange gedauert, bis dieses Einfallstor dann doch mal aufgefallen ist. Ist halt nix, wenn man bunte Bildchen nicht mit bloßem Auge entziffern kann und an das Gute im Menschen glauben muß.

    "Daher raten wir dringend, eine Sicherheitslösung für Smartphones zu verwenden, um die Geräte und Daten vor Phishing, betrügerischen Anwendungen und Malware zu schützen – und eben vor gefährlichen QR-Codes."
    Da bin ich absolut dabei. QR-Scanner entfernen, entsprechendes Pendant in der Kamera deaktivieren, ganz oldschool Links manuell eingeben oder in einem Tresor seiner Wahl verstauen.

    Aber weshalb einfach, wenn es auch schwierig geht… und mit diesem Wort zum Sonntag verabschiede ich mich in die Kiste. ^^

    • 1ST1 sagt:

      E würde ja erstmal reichen, wenn man (optional) die aus dem QR- (oder Bar-) Code ausgelesenen Daten im Klartext angezeigt bekommt, idealerweise, falls vorher (z.B. Base64) codiert, schon lesbar umgewandelt. Dann könnte man sich selbst davon überzeugen, dass der eingelesene Code sicher ist. Außerdem könnte man ja auch die QR-Codes selbst absichern, in dem man ihn digital signiert, auch optisch könnte man da was mit Echtheitszertifikat (Hologram oder sowas) tun.

      Letztendlich, einen breit gefächerten Angriff (quasi mit der Schrotflinte) bekommt man damit hin, aber um gezielt bestimmte Personen anzugreifen, sicher interessant.

      • Dat Bundesferkel sagt:

        Du hast auf jeden Fall recht mit der lesbaren Darstellung. Aber wie Leisetreter unter uns schon geschrieben hat:

        Eher unbedarfte Nutzer sind nicht einmal daran interessiert sich den Inhalt anzusehen. Deren Ziel ist: "Klick, Seite aufgerufen", denn… (O-Ton eines Kollegen): "Alles andere ist mir zu kompliziert". *kopf-wand*

  2. Leisetreter sagt:

    Ein QR-Code ist meistens auch nichts anderes als eine URL. Wer auf Links in Phishing-Mails reinfällt, der fällt auch auf "gefälschte" QR-Codes rein. Im Endeffekt ist es das selbe: Nicht-technikaffine Menschen, die nur Clicken, statt die URL/den Zahlungsempfänger zu lesen.

    Kontaktlose EC-Karte im Portemonnaie in einer Funk-undurchlässigen Hülle. Nur entnehmen für die Zahlung. Ich wurde noch nie gehackt. Profis sollen sogar Bargeld für Zahlungen nutzen.

    • Dat Bundesferkel sagt:

      "Profis sollen sogar Bargeld für Zahlungen nutzen."
      Habe schon seit Jahren kein Bargeld mehr. Nicht wegen Corona, oder weil ich so ein "Mobile-Payment-Freak" wäre. In jüngeren Jahren erzählten mir Schulfreunde stolz, welchen Schabernack sie mit den Währungen so angestellt haben (zwischen Po-Backen klemmen, dann bezahlen etc.) – das hat mich so angewidert, daß ich seither das Zeug nicht mehr anfasse. Ist mir einfach zu unhygienisch.

      Meine Plastikkarten mit Funktechnologie haben eine arg begrenzte Reichweite, da mache ich mir tatsächlich weniger Gedanken drum, auch wenn ein Mißbrauch natürlich nicht ausgeschlossen werden kann (Rempler-Kontakt durch Dritte mit Händler-Leseterminal zur Abbuchung).

      Auf Mobile-Payment verzichte ich hingegen. Das ist mir erheblich zu unsicher, vor allem dank der PSD2-Einführung, die ein herbes Sicherheits-Downgrade von FinTS darstellt.

Schreibe einen Kommentar zu Leisetreter Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.