Digitale Teilhabe 65 plus

Beobachtungen, Gedanken, Fragen und Tipps
zur Überwindung der Alterslücke bei der Nutzung von digitalen Medien

Portrait: Herbert Kubicek
Prof. Dr. Herbert Kubicek
Jahrgang 1946
Über mich
06.09.2024

Gefälschte QR-Codes und wie man sich schützen kann - Was nutzen QR Code Scanner ?

Screenshot einer App im Apple hop mit einem QR Code und dem Wort QR Code Scanner

Schutz vor Phishing

Nicht alle, die ein Smartphone nutzen und Mails empfangen, wissen was Phishing ist und wie man sich vor Schäden schützt. Es geht um das Abfischen von Bankdaten oder Log-In-Daten mit gefälschten E-Mails und Web-Seiten. Von "Fischen" spricht man, weil nicht einzelne Empfänger gezielt ausgesucht werden, sondern Tausende solcher Mails verschickt werden und die Betrüger darauf hoffen, dass einige Unvorsichtige auf die Täuschung hereinfallen und ihnen ins Netz gehen. Aber fast alle wissen, dass man nicht auf unbekannte Links klicken soll und keine Anhänge von Mails von unbekannten Absendern öffnen soll. Wer sich etwas auskennt, weiß wie man auch täuschend echt aussehende Phishing-Mails erkennen kann: Man klickt auf den angezeigten Namen des Absendern und kann die benutzte E-Mail-Adresse sehen. Und die lautet im Phishing-Fall ganz anders. Ausführlichere Tips finden Sie zum Beispiel bei chip.de sowie vom BSI

Jetzt kommt "Quishing" hinzu

Der Weser Kurier hat am 3. September über eine Warnung der Polizei vor gefälschten QR-Codes berichtet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte schon in seinem Newsletter vom 3.11. 2023 eine solche Warnung veröffentlicht:

"Quishing ist die Zusammensetzung aus QR und Phishing. Hierbei werden die Empfänger dazu aufgefordert, einen QR-Code zu scannen. Die Vorwände sind meist ähnlich, wie beim Phishing und hinter dem QR-Code verbirgt sich dann zum Beispiel ein Link auf eine Fake-Website, wie wir ihn vom Phishing kennen – nur eben anders verpackt. Eine weitere Behauptung ist auch oft ein Dokument oder eine Rechnung, die mithilfe des QR-Codes leicht heruntergeladen werden kann. Dahinter verbirgt sich jedoch ein mit Schadsoftware verseuchtes Dokument.

Da sich der Link erst nach dem Scannen des QR-Codes ergibt, wird der Link von automatischen Mail-Scannern evtl. nicht erkannt. In der Folge wird eine betrügerische Mail wahrscheinlich eher zugestellt und nicht in den Spam-Ordner verschoben.

chip.de weist in einem aktuellen Beitrag vom 6.9.2024 darauf hin, dass die gefälschten QR Codes nicht nur über E-Mails verschickt werden, "sondern neuerdings durch SMS und WhatsApp-Nachrichten sowie durch Postbriefe. Außerdem tauchen manipulierte Rechnungen und Strafzettel auf. Auch das Überkleben von echten QR-Codes durch Fälschungen ist eine neue Methode.

Wie schützt man sich vor Quishing?

Das BSI schreibt in dem zitierten Newsletter, dass es sich grundsätzlich um das gleiche Phänomen handele wie Phishing und daher die gleichen Vorsichtsmaßnahmen zu ergreifen sind: Nicht auf QR-Codes von unbekannten Absendern klicken und erst recht auf nicht auf die sich dann öffnende Seite und und auf keinen Fall dort persönlichen Daten preisgebe, was immer auch versprochen wird.

Selbstversuch mit einejm QR Code Scanner

Wer meint, mit derart radikaler Vorsicht könne man vielleicht wichtige echte Informationen verpassen, dem empfiehlt chip.de eine App mit einem QR Code Scanner auf dem Smartphone zu installieren und vor dem Anklicken den fraglichen QR Code zu scannen. Die App übersetzt die Striche und Punkte in Buchstaben und Ziffern. Ich habe das eben ausprobiert und den QR Code auf einem Kassenbon des Plattenladen Black Plastic vom 2.9.2024 über 20,00 Euro gescannt und folgende Übersetzung erhalten: V0;1887a4ae-6c85-5ed8-906a-5047a8f2bdbe;Kassenbeleg-V1;Beleg^0.00_0.00_0.00_0.00_20.00^20.00:Bar;17852;36513;2024-09-02T10:52:31.000Z;2024-09-02T10:53:11.000Z;ecdsa-plain-SHA256;unixTime;FNtbu8YOWrf/yoeY60nzHCXgc/haiYmKvD0BpJBSBx+G5CKN4K/B3b+XUVGQI16Yo+yiysQ956C2nUOgDhNnrg==;BBIX0WVlSOcczr8WGYkyyZIJMRkytClOd/qtkVqoNE8S0LwbV9Mllk6U81dgzvEmKs7OMWC9M5JJ5+S6fa2LLl8=

Die einzige vertrauenswürdige Information, nämlich den Namen des Ladens, finde ich hier nicht. Ich weiß nicht, wie die Übersetzung von gefälschten QR-Codes aussieht. Aber so einfach wie bei gefälschten E-Mails dürften sie auch mit einer solchen App nicht zu identifizieren sein. Ansehen