Moderne Technologie macht unser Leben oft einfacher, aber sie schafft auch neue Möglichkeiten für Cyberkriminelle, in unsere Privatsphäre einzudringen und unsere Identitäten zu stehlen. Mit der wachsenden Beliebtheit von Quick-Response-Codes (QR-Codes) nutzen Cyberkriminelle diese nun für bösartige Aktivitäten.
QR-Codes, die in den 1990er Jahren erfunden wurden, gewannen während der Pandemie an Popularität. Seit der COVID-19-Pandemie hat sich der Einsatz der QR-Code-Technologie rasch ausgeweitet, da die Verbraucher kontaktlose Transaktionen bevorzugen. QR-Codes werden in einer Vielzahl von Branchen eingesetzt, von Track-and-Trace-Systemen bis hin zur Bestellung von Speisekarten in Restaurants oder zum Bezahlen von Parkgebühren. Da die Technologie jedoch immer weiter verbreitet ist, haben es Cyberkriminelle zunehmend auf unsere wachsende Vertrautheit mit dieser Technologie abgesehen.
QR-Codes können leicht mit Smartphones gescannt werden und ermöglichen den Verbrauchern den Zugang zu Werbeaktionen, digitalen Tickets und anderen Inhalten, indem sie einfach die Kamera ihres Telefons auf den Code richten. Allerdings sind nicht alle QR-Codes seriös.
Warum sind QR-Code-Angriffe so attraktiv für Cyberkriminelle?
QR-Codes sind aus mehreren Gründen ein unwiderstehlicher Angriff. Die indirekte Natur von QR-Codes hilft, gefährliche Inhalte zu verbergen - es gibt keinen Hinweis darauf, dass eine Reihe von Pixelquadraten eine potenzielle Bedrohung darstellen könnte. Während viele Menschen wissen, dass sie sich vor Phishing-Links und verdächtigen Dateien in E-Mails hüten sollten, die sich als E-Mails ihrer Bank ausgeben, denken die meisten Menschen nicht zweimal darüber nach, bevor sie einen QR-Code mit der Kamera ihres Smartphones scannen. Dies und die Bequemlichkeit der Technologie machen es wahrscheinlicher, dass die Verbraucher einem QR-Code auch in Situationen vertrauen, in denen sie einem Standard-Link misstrauisch gegenüberstehen würden, was die Erfolgschancen des Angreifers erhöht.
Bedrohungsakteure verwenden verschiedene Köder und Strategien, um Benutzer zum Scannen bösartiger QR-Codes zu verleiten, ähnlich wie bei Phishing-Angriffen. Zu den gängigen Arten von QR-Code-Angriffen gehören:
Clickjacking: Einer der einfachsten Betrugsversuche ist Clickjacking. In einigen Fällen werden Personen dafür bezahlt, andere dazu zu bringen, auf bestimmte Links zu klicken. Ein gängiger Ansatz ist das Ersetzen von QR-Codes auf bekannten Sehenswürdigkeiten, bei denen die Nutzer erwarten, dass sie nach dem Scannen des QR-Codes grundlegende Informationen über die Sehenswürdigkeit erhalten. Stattdessen leitet der veränderte QR-Code den Nutzer auf eine dubiose Website um, für die der Urheber des Clickjacking eine Gebühr erhält.
Phishing: Beim QR-Phishing, auch bekannt als Quishing, werden die Opfer dazu verleitet, einen bösartigen QR-Code zu scannen, der sie auf eine gefälschte Website weiterleitet oder Malware herunterlädt. QR-Codes erscheinen oft vertrauenswürdig, wenn sie auf Broschüren, Anzeigen oder Produkten von dubiosen Unternehmen platziert sind, die sich als vertrauenswürdige Firmen ausgeben. Wenn sie von einer Smartphone-Kamera gescannt werden, wird die Malware ausgelöst, ohne dass der Nutzer merkt, dass er auf eine bösartige Website umgeleitet wurde.
Malware-Angriffe: Cyberkriminelle können QR-Codes verwenden, um ahnungslose Personen auf Websites zu locken, die automatisch Malware auf ihre Mobilgeräte herunterladen. Diese Malware kann erheblichen Schaden anrichten, z. B. eine Hintertür für andere Malware-Infektionen öffnen oder die Daten der Zielperson stehlen und an Cyberkriminelle weiterleiten. In einigen Fällen können diese Malware-Infektionen auch Ransomware-Angriffe beinhalten, die die Daten des Opfers als Geisel halten, bis ein Lösegeld gezahlt wird.
QRLJacking: QRLJacking (Quick Response code Login Jacking) ist eine Art von Angriff, der auf QR-Code-basierte Anmeldesysteme abzielt. Bei dieser Art von Angriff ersetzt der Hacker den QR-Code des Dienstanbieters durch einen bösartigen Code, der es ihm ermöglicht, unbefugten Zugriff auf den Benutzer zu erhalten. Der Benutzer scannt den QR-Code des Hackers anstelle des QR-Codes des Dienstanbieters, so dass der Hacker die Kontrolle über das Benutzerkonto erlangen kann.
Der QRLJacking-Angriff funktioniert folgendermaßen:
Bezahlen von Parkgebühren: Betrügerische QR-Codes sind oft auf der Rückseite von Parkuhren angebracht und gaukeln den Opfern vor, dass sie mit einem QR-Code für das Parken bezahlen können. Nachdem sie mit dem QR-Code bezahlt haben, kehren einige Opfer zu ihrem Fahrzeug zurück und stellen fest, dass sie abgeschleppt wurden oder einen Parkschein erhalten haben. Darüber hinaus werden ihre Zahlungsdaten oft für späteren Missbrauch gesammelt.
Phishing-Betrug im Bankwesen: Bankfilialen hängen oft Aushänge mit Sonderangeboten an ihren Türen oder Schaltern aus, die dazu auffordern, sich für neue Konten oder andere Dienstleistungen anzumelden. Cyberkriminelle können einen legitimen QR-Code leicht durch einen Code ersetzen, der zu ihrer bösartigen Website führt.
Geldbörsen für Kryptowährungen: Der Aufstieg der Kryptowährungen hat viele Menschen zu Transaktionen verleitet, die ein Hauptziel für Betrüger sind. Der Handel mit Kryptowährungen wie Bitcoin findet online statt, und QR-Codes sind sowohl für seriöse als auch für betrügerische Händler der bequemste Weg, um Anleger zu ihren digitalen Geldbörsen zu führen.
Romantische Betrügereien: Einige Cyberkriminelle verbringen Monate damit, eine romantische Online-Beziehung zu ihrem Opfer aufzubauen, und bieten schließlich finanzielle Beratung an oder bitten um finanzielle Hilfe über eine Bitcoin-Börse. Das Opfer verwendet dann den bereitgestellten QR-Code, um das angeforderte Geld direkt an die digitale Geldbörse des Betrügers zu senden.
Betrüger des öffentlichen Dienstes und der Regierung: Cyberkriminelle geben sich im Zusammenhang mit überfälligen Schulden oft als Vertreter von Versorgungsunternehmen, der Sozialversicherungsbehörde oder der Steuerbehörde (Internal Revenue Service, IRS) aus. Der Betrüger behauptet, dass eine Nichtzahlung zur Verhaftung, zu zusätzlichen Geldstrafen oder zur Kündigung des Zugangs zu Strom, Gas oder Wasser führen kann. Der Cyberkriminelle teilt dem Opfer möglicherweise mit, dass das übliche Zahlungsportal für diese Dienstleistungen derzeit nicht verfügbar ist, die Zahlung aber über ein anderes Portal erfolgen kann, indem man einem Link folgt oder einen QR-Code scannt.
Empfehlungen und Abhilfemaßnahmen
Die wichtigste Empfehlung ist, den "QR-Code-Login" nur dann zu verwenden, wenn es unbedingt notwendig ist. Es gibt mehrere Lösungen, um dieses Problem zu vermeiden, und die folgenden können zusammen oder einzeln verwendet werden:
Ziel dieses nächsten Schritts ist es, sicherzustellen, dass der gescannte QR-Code an demselben physischen Ort erzeugt wird wie das mobile Gerät, das den Scanvorgang durchführt, um so zu verhindern, dass ein Angreifer den Benutzer dazu verleitet, einen bösartigen QR-Code zu scannen.
Angriffsszenario (mit Schadensbegrenzung):
Wie Sie sich vor Angriffen mit QR-Codes schützen können
Einzelpersonen können sich vor QR-Code-Angriffen schützen, indem sie diese Richtlinien befolgen:
Schlussfolgerung
Um zu vermeiden, dass sie Opfer von Bedrohungen wie QRLJacking werden, sollten Unternehmen in Erwägung ziehen, eine Bestätigungsnachricht oder Benachrichtigung für den Benutzer zu implementieren, die spezifische Informationen über die vom Client-Server initiierte Sitzung anzeigt, sowie ein Zeitlimit (normalerweise innerhalb von 3 Minuten) für den Abschluss jeder Anmeldesitzung festzulegen. Durch die Beschränkung der Authentifizierungsprozesse auf bestimmte Netzwerke und/oder Standorte wird die Angriffsfläche weiter verringert. Unternehmen sollten auch den Schutz vor mobilen Bedrohungen auf Geräten in Betracht ziehen, die Zugriff auf Unternehmensanwendungen und -daten haben. Dies hilft bei der Erkennung und Entschärfung mobiler Angriffe, einschließlich solcher mit bösartigen QR-Codes.
VERWENDETE RESSOURCEN
https://www.csa.gov.sg/Tips-Resource/publications/cybersense/2020/quick-response-code-related-cyber-threats
https://owasp.org/www-community/attacks/Qrljacking
https://www.infosecurity-magazine.com/opinions/qr-codes-vulnerability-cybercrimes
https://www.alvareztg.com/fbi-warns-of-rising-qr-codes-attacks
autor: Marek Kovalčík
QR-Codes, die in den 1990er Jahren erfunden wurden, gewannen während der Pandemie an Popularität. Seit der COVID-19-Pandemie hat sich der Einsatz der QR-Code-Technologie rasch ausgeweitet, da die Verbraucher kontaktlose Transaktionen bevorzugen. QR-Codes werden in einer Vielzahl von Branchen eingesetzt, von Track-and-Trace-Systemen bis hin zur Bestellung von Speisekarten in Restaurants oder zum Bezahlen von Parkgebühren. Da die Technologie jedoch immer weiter verbreitet ist, haben es Cyberkriminelle zunehmend auf unsere wachsende Vertrautheit mit dieser Technologie abgesehen.
QR-Codes können leicht mit Smartphones gescannt werden und ermöglichen den Verbrauchern den Zugang zu Werbeaktionen, digitalen Tickets und anderen Inhalten, indem sie einfach die Kamera ihres Telefons auf den Code richten. Allerdings sind nicht alle QR-Codes seriös.
Warum sind QR-Code-Angriffe so attraktiv für Cyberkriminelle?
QR-Codes sind aus mehreren Gründen ein unwiderstehlicher Angriff. Die indirekte Natur von QR-Codes hilft, gefährliche Inhalte zu verbergen - es gibt keinen Hinweis darauf, dass eine Reihe von Pixelquadraten eine potenzielle Bedrohung darstellen könnte. Während viele Menschen wissen, dass sie sich vor Phishing-Links und verdächtigen Dateien in E-Mails hüten sollten, die sich als E-Mails ihrer Bank ausgeben, denken die meisten Menschen nicht zweimal darüber nach, bevor sie einen QR-Code mit der Kamera ihres Smartphones scannen. Dies und die Bequemlichkeit der Technologie machen es wahrscheinlicher, dass die Verbraucher einem QR-Code auch in Situationen vertrauen, in denen sie einem Standard-Link misstrauisch gegenüberstehen würden, was die Erfolgschancen des Angreifers erhöht.
Angreifer nutzen QR-Codes in der Regel auf folgende Weise aus:
- Einbetten von QR-Codes mit bösartigen URLs
- Ersetzen legitimer QR-Codes durch kompromittierende Codes, indem sie ihre QR-Codes einfach über bestehende Codes einfügen
Arten von QR-Code-Angriffen
Bedrohungsakteure verwenden verschiedene Köder und Strategien, um Benutzer zum Scannen bösartiger QR-Codes zu verleiten, ähnlich wie bei Phishing-Angriffen. Zu den gängigen Arten von QR-Code-Angriffen gehören:Clickjacking: Einer der einfachsten Betrugsversuche ist Clickjacking. In einigen Fällen werden Personen dafür bezahlt, andere dazu zu bringen, auf bestimmte Links zu klicken. Ein gängiger Ansatz ist das Ersetzen von QR-Codes auf bekannten Sehenswürdigkeiten, bei denen die Nutzer erwarten, dass sie nach dem Scannen des QR-Codes grundlegende Informationen über die Sehenswürdigkeit erhalten. Stattdessen leitet der veränderte QR-Code den Nutzer auf eine dubiose Website um, für die der Urheber des Clickjacking eine Gebühr erhält.
Phishing: Beim QR-Phishing, auch bekannt als Quishing, werden die Opfer dazu verleitet, einen bösartigen QR-Code zu scannen, der sie auf eine gefälschte Website weiterleitet oder Malware herunterlädt. QR-Codes erscheinen oft vertrauenswürdig, wenn sie auf Broschüren, Anzeigen oder Produkten von dubiosen Unternehmen platziert sind, die sich als vertrauenswürdige Firmen ausgeben. Wenn sie von einer Smartphone-Kamera gescannt werden, wird die Malware ausgelöst, ohne dass der Nutzer merkt, dass er auf eine bösartige Website umgeleitet wurde.
Malware-Angriffe: Cyberkriminelle können QR-Codes verwenden, um ahnungslose Personen auf Websites zu locken, die automatisch Malware auf ihre Mobilgeräte herunterladen. Diese Malware kann erheblichen Schaden anrichten, z. B. eine Hintertür für andere Malware-Infektionen öffnen oder die Daten der Zielperson stehlen und an Cyberkriminelle weiterleiten. In einigen Fällen können diese Malware-Infektionen auch Ransomware-Angriffe beinhalten, die die Daten des Opfers als Geisel halten, bis ein Lösegeld gezahlt wird.
QRLJacking: QRLJacking (Quick Response code Login Jacking) ist eine Art von Angriff, der auf QR-Code-basierte Anmeldesysteme abzielt. Bei dieser Art von Angriff ersetzt der Hacker den QR-Code des Dienstanbieters durch einen bösartigen Code, der es ihm ermöglicht, unbefugten Zugriff auf den Benutzer zu erhalten. Der Benutzer scannt den QR-Code des Hackers anstelle des QR-Codes des Dienstanbieters, so dass der Hacker die Kontrolle über das Benutzerkonto erlangen kann.
Der QRLJacking-Angriff funktioniert folgendermaßen:
- Der Angreifer initiiert eine clientseitige QR-Sitzung und repliziert den Anmelde-QR-Code auf eine betrügerische Website. "Eine gut gestaltete Phishing-Website mit einem aktiven und häufig aktualisierten QR-Code ist bereit für die Verteilung an das betreffende Opfer.
- Angreifer sendet Phishing-Seite an Opfer
- Das Opfer scannt den QR-Code mit einer speziellen Handy-App.
- Der Angreifer übernimmt die Kontrolle über das Konto des Opfers
- Der Dienst leitet alle Daten des Opfers während der Sitzung des Angreifers an den Angreifer weiter.
QR-Code-Betrug
Bezahlen von Parkgebühren: Betrügerische QR-Codes sind oft auf der Rückseite von Parkuhren angebracht und gaukeln den Opfern vor, dass sie mit einem QR-Code für das Parken bezahlen können. Nachdem sie mit dem QR-Code bezahlt haben, kehren einige Opfer zu ihrem Fahrzeug zurück und stellen fest, dass sie abgeschleppt wurden oder einen Parkschein erhalten haben. Darüber hinaus werden ihre Zahlungsdaten oft für späteren Missbrauch gesammelt.Phishing-Betrug im Bankwesen: Bankfilialen hängen oft Aushänge mit Sonderangeboten an ihren Türen oder Schaltern aus, die dazu auffordern, sich für neue Konten oder andere Dienstleistungen anzumelden. Cyberkriminelle können einen legitimen QR-Code leicht durch einen Code ersetzen, der zu ihrer bösartigen Website führt.
Geldbörsen für Kryptowährungen: Der Aufstieg der Kryptowährungen hat viele Menschen zu Transaktionen verleitet, die ein Hauptziel für Betrüger sind. Der Handel mit Kryptowährungen wie Bitcoin findet online statt, und QR-Codes sind sowohl für seriöse als auch für betrügerische Händler der bequemste Weg, um Anleger zu ihren digitalen Geldbörsen zu führen.
Romantische Betrügereien: Einige Cyberkriminelle verbringen Monate damit, eine romantische Online-Beziehung zu ihrem Opfer aufzubauen, und bieten schließlich finanzielle Beratung an oder bitten um finanzielle Hilfe über eine Bitcoin-Börse. Das Opfer verwendet dann den bereitgestellten QR-Code, um das angeforderte Geld direkt an die digitale Geldbörse des Betrügers zu senden.
Betrüger des öffentlichen Dienstes und der Regierung: Cyberkriminelle geben sich im Zusammenhang mit überfälligen Schulden oft als Vertreter von Versorgungsunternehmen, der Sozialversicherungsbehörde oder der Steuerbehörde (Internal Revenue Service, IRS) aus. Der Betrüger behauptet, dass eine Nichtzahlung zur Verhaftung, zu zusätzlichen Geldstrafen oder zur Kündigung des Zugangs zu Strom, Gas oder Wasser führen kann. Der Cyberkriminelle teilt dem Opfer möglicherweise mit, dass das übliche Zahlungsportal für diese Dienstleistungen derzeit nicht verfügbar ist, die Zahlung aber über ein anderes Portal erfolgen kann, indem man einem Link folgt oder einen QR-Code scannt.
Empfehlungen und Abhilfemaßnahmen
Die wichtigste Empfehlung ist, den "QR-Code-Login" nur dann zu verwenden, wenn es unbedingt notwendig ist. Es gibt mehrere Lösungen, um dieses Problem zu vermeiden, und die folgenden können zusammen oder einzeln verwendet werden:
- Sitzungsbestätigung: Die effektivste Empfehlung ist die Implementierung einer Bestätigungsnachricht oder -meldung, die spezifische Informationen über die Client/Server-Sitzung anzeigt.
- IP-Beschränkung: Die Beschränkung von Authentifizierungsverfahren über verschiedene Wide Area Networks (WANs) hinweg verringert die Möglichkeit eines Angriffs.
- Standortbezogene Einschränkung: Die Einschränkung von Authentifizierungsverfahren auf der Grundlage des Standorts verringert die Möglichkeit eines Angriffs.
- Authentifizierung durch Ton: Eine mögliche Lösung ist die Einbeziehung der Audio-Authentifizierung in das Verfahren. Es gibt Technologien, mit denen eindeutige Daten erstellt, in ein Audioformat umgewandelt und in ihrer ursprünglichen Form erkannt werden können, so dass sich dieses Verfahren leicht umsetzen lässt.
Ziel dieses nächsten Schritts ist es, sicherzustellen, dass der gescannte QR-Code an demselben physischen Ort erzeugt wird wie das mobile Gerät, das den Scanvorgang durchführt, um so zu verhindern, dass ein Angreifer den Benutzer dazu verleitet, einen bösartigen QR-Code zu scannen.
Angriffsszenario (mit Schadensbegrenzung):
- Ein Angreifer besucht eine Website und startet eine Sitzung
- Die Website generiert einen QR-Code, der den Sitzungsschlüssel enthält
- Der Angreifer erstellt mit dem empfangenen QR-Code eine gefälschte Webseite und sendet sie an den Benutzer
- Ein Benutzer scannt den QR-Code eines Angreifers auf einer Phishing-Website
- Die mobile App erzeugt einen Authentifizierungston und sendet ihn an eine betrügerische Website
- Die betrügerische Website ist nicht in der Lage, Authentifizierungsdaten zu verarbeiten und zu sammeln, da sie zusätzliche Browserberechtigungen benötigt
- Selbst wenn der Angreifer versucht, einen Authentifizierungssound mit Hilfe der Benutzer-ID zu erzeugen, fehlt ihm der geheime Schlüssel
Wie Sie sich vor Angriffen mit QR-Codes schützen können
Einzelpersonen können sich vor QR-Code-Angriffen schützen, indem sie diese Richtlinien befolgen:
- Vermeiden Sie das Herunterladen von Apps über QR-Codes und nutzen Sie den App-Store Ihres Telefons für sicherere Downloads.
- Achten Sie beim Scannen des QR-Codes darauf, dass die URL korrekt ist und authentisch aussieht. Der bösartige Domänenname kann der gewünschten URL sehr ähnlich sein, kann aber Tippfehler oder falsch gesetzte Buchstaben enthalten.
- Vermeiden Sie es, QR-Codes in E-Mails zu scannen, insbesondere wenn sie von Organisationen oder Personen zu stammen scheinen, die Sie kennen.
- Wenn Sie einen physischen QR-Code auf einem Schild, Fenster oder Plakat scannen, achten Sie darauf, dass er nicht überlagert ist.
- Wenn Sie eine QR-Code-Zahlungsbenachrichtigung erhalten, wenden Sie sich bitte an das Unternehmen oder besuchen Sie dessen Website, um die Gültigkeit zu überprüfen.
- Wenn Sie einen QR-Code von einer Ihnen bekannten Person erhalten, kontaktieren Sie diese unter einer bekannten Telefonnummer oder Adresse, um zu überprüfen, ob der Code echt ist.
- Installieren Sie eine mobile Sicherheits-App zum Schutz vor Viren und Malware, um Ihr Smartphone sicher zu halten, oder installieren Sie einen Betrugsblocker oder Webfilter auf Ihrem Gerät, um sich vor entdecktem Betrug zu schützen.
Schlussfolgerung
Um zu vermeiden, dass sie Opfer von Bedrohungen wie QRLJacking werden, sollten Unternehmen in Erwägung ziehen, eine Bestätigungsnachricht oder Benachrichtigung für den Benutzer zu implementieren, die spezifische Informationen über die vom Client-Server initiierte Sitzung anzeigt, sowie ein Zeitlimit (normalerweise innerhalb von 3 Minuten) für den Abschluss jeder Anmeldesitzung festzulegen. Durch die Beschränkung der Authentifizierungsprozesse auf bestimmte Netzwerke und/oder Standorte wird die Angriffsfläche weiter verringert. Unternehmen sollten auch den Schutz vor mobilen Bedrohungen auf Geräten in Betracht ziehen, die Zugriff auf Unternehmensanwendungen und -daten haben. Dies hilft bei der Erkennung und Entschärfung mobiler Angriffe, einschließlich solcher mit bösartigen QR-Codes.
VERWENDETE RESSOURCEN
https://www.csa.gov.sg/Tips-Resource/publications/cybersense/2020/quick-response-code-related-cyber-threats
https://owasp.org/www-community/attacks/Qrljacking
https://www.infosecurity-magazine.com/opinions/qr-codes-vulnerability-cybercrimes
https://www.alvareztg.com/fbi-warns-of-rising-qr-codes-attacks
autor: Marek Kovalčík