Betrugsschemata via QR-Codes

Originalartikel von Trend Micro

Die Welt hofft auf ein Ende der Covid-19-Pandemie, doch Gesundheitsexperten weisen darauf hin, dass das Virus nicht für immer verschwinden wird. Daher müssen die Menschen lernen, damit zu leben. Dazu gehören auch die durch die Pandemie eingeleiteten Veränderungen des digitalen Lebensstils zu beherrschen, etwa bargeldlose und kontaktlose Transaktionen. Viele Unternehmen haben auf diesen Bedarf mit dem Einsatz von QR-Codes (Quick Response) reagiert. Die Bequemlichkeit, die sie bieten, und die Allgegenwärtigkeit mobiler Geräte haben zweifellos in hohem Maße zur weiten Verbreitung dieser zweidimensionalen Strichcodes beigetragen. Ihre Beliebtheit hat jedoch auch einen fruchtbaren Boden für böswillige Akteure geschaffen, die sich für den Diebstahl von Assets nichtsahnende Menschen aussuchen, die nicht viel über die Sicherheit von QR-Codes wissen. Wie kann man sich also vor QR-Code-Betrug schützen?

Ein QR-Code ist ein zweidimensionaler Strichcode, der 7.089 Ziffern oder 4.296 Zeichen speichern kann. Er wird mit einem in die Standardkameras der meisten mobilen Geräte integrierten QR-Code-Scanner oder -Lesegerät gelesen, um die darin verschlüsselten Daten zu entziffern. Dabei handelt es sich im Wesentlichen um eine Textzeichenfolge, die in der Regel eine URL oder einen Link zu einer Website oder einem offiziellen Konto eines Händlers in einem Zahlungssystem enthält.

Die Bedrohungen durch QR-Codes sind inzwischen so weit verbreitet und so raffiniert, dass das FBI kürzlich eine Warnung vor ihnen herausgegeben hat. Wir stellen die verschiedenen Möglichkeiten dar, wie Betrüger QR-Codes nutzen, um Nutzer zu täuschen, und geben Tipps, wie Nutzer sich vor QR-Code-Betrug schützen können.

Diese Kriminellen haben eine Menge Zeit und Ressourcen in den Ausbau ihrer QR-Code-Malware-Toolkit investiert, um ihre QR-Code-gestützten Scams als legitim und nützlich erscheinen zu lassen, wie die folgenden Beispiele zeigen.

Betrug im physischen Raum

Während man häufig davon ausgeht, dass sich Cyberkriminalität ausschließlich im digitalen Raum abspielt, sind Bedrohungen im Zusammenhang mit QR-Codes insofern anders, als sie teilweise auch in der physischen Welt stattfinden können.

Überlagerte QR-Codes

Ein Paradebeispiel für einen Scam ist jener, bei dem böswillige Akteure QR-Code-Aufkleber ausdrucken und sie physisch über echte Codes legen. Im Allgemeinen gehen die Leute davon aus, dass Schilder oder Plakate mit QR-Codes in Geschäften und an öffentlichen Plätzen sicher sind, ohne daran zu denken, dass  diese legitime QR-Codes durch gefälschte ersetzt werden könnten.

So einen Fall gab es mit Zahlungen für Bike-Sharing in China. Böswillige Akteure ersetzten Berichten zufolge die QR-Codes, die zu scannen waren, um vor der Freischaltung für die Nutzung der Fahrräder zu bezahlen. Durch diesen Scam wurden die Zahlungen der ahnungslosen Nutzer auf die Konten der böswilligen Akteure überwiesen, ohne dass die Fahrräder freigeschaltet wurden. Erst kürzlich warnte die Polizei mehrerer US-Städte vor einer ähnlichen Masche, bei der böswillige Akteure ihre betrügerischen QR-Codes auf legitime QR-Codes auf Parkuhren geklebt hatten, um die Nutzer zur Eingabe ihrer Zahlungsdaten auf ihren Phishing-Websites zu verleiten.

QR-Codes im Social Engineering

Ein weiteres Beispiel für einen QR-Code-Betrug gab es auf einem Parkplatz in den Niederlanden, und er führte zum Diebstahl von Tausenden von Euros. Böswillige Akteure forderten Personen auf, die Parkgebühr nicht an dem dafür vorgesehenen Automaten auf dem Parkplatz zu bezahlen, da dieser angeblich defekt sei. Die Betrüger trugen Uniformen, um glaubwürdiger zu wirken, und überredeten ihre Opfer, stattdessen den QR-Code zu scannen, den sie bei sich hatten, und leiteten so die Zahlungen auf ihr Konto um.

Scams im digitalen Raum

QR-Codes in Phishing-Mails

Es ist bekannt, dass Betrüger QR-Codes in ihre Phishing-Angriffe einbauen, als „Quishing“ bekannt. Sie tun dies hauptsächlich, um herkömmliche Sicherheitslösungen zu umgehen, die bösartige URLs in Mails erkennen können, aber nicht, wenn sie mit QR-Codes verknüpft (oder hinter ihnen versteckt) sind.

Im Dezember 2021 wurde über eine Phishing-Kampagne, die QR-Codes nutzte, berichtet, die auf den Diebstahl von Bank-Anmeldeinformationen in Deutschland zielte. Böswilligen Akteure schickten eine Mail im Namen einer Bank und forderten die Empfänger auf, die Änderungen der Datenschutzrichtlinien der Bank zu überprüfen und ihnen zuzustimmen, indem sie den QR-Code in der Mail scannen. Der QR-Code verwies jedoch auf eine Phishing-Website, auf der das Opfer seine Bankdaten eingeben sollte, die die böswilligen Akteure dann abgreifen konnten.

Ein Quishing-Scam, um Microsoft 365-Credentials zu stehlen, wurde auch Ende des letzten Jahres bekannt. Die Kampagne startet mit einer Mail, die von einem zuvor kompromittierten Mail-Konto stammt und eine Voicemail-Nachricht enthält, die der Empfänger angeblich abhören kann, indem er den QR-Code in der Mail scannt. Der QR-Code führt jedoch zu einer gefälschten Anmeldeseite, mit der Microsoft 365-Credentials gestohlen werden sollen.

QR-Codes für das Abonnieren von kostenpflichtigen Diensten

QR-Codes sollen ahnungslose Nutzer für kostenpflichtige Dienste anwerben und ihnen die monatlichen Gebühren entlocken. Diese Methode wurde in der Android-Trojaner-Kampagne GriftHorse verwendet, der bis September 2021 mehr als 10 Millionen Nutzer weltweit zum Opfer fielen.

Kryptowährungs-bezogene QR-Codes

Betrüger verwenden QR-Codes, um Nutzer dazu zu verleiten, gefälschte Kryptowährungs-Wallets herunterzuladen, indem sie ihnen dafür Belohnungen versprechen, die aber tatsächlich gefälschte Token sind. Eine andere Art von Köder besteht darin, mit QR-Codes gefälschte Kryptowährungs-Wallets herunterzuladen, mit dem Versprechen von Ermäßigungen bei den Miner-Gebühren. Ein ähnlicher Betrug ist die Verwendung von QR-Codes, um eine unbefugte Genehmigung von Tokens zu erhalten, die für die Übertragung von Guthaben von einem Kryptowährungs-Wallet zu einem anderen verwendet werden.

QR-Code-Scams mit MetaMask, einem Kryptowährungs-Wallet für die Interaktion mit der Ethereum-Blockchain, beinhalten das Eindringen böswilliger Akteure über QR-Codes in MetaMask-Erweiterungskonten, um Gelder ohne die privaten Schlüssel des Kontoinhabers zu überweisen.

QR-Code- und Strichcode-Scanner Apps

Mitte 2021 erschienen auf Google Play QR-Code- und Strichcode-Scanner Apps, die mit der Anatsa-Malware in Zusammenhang standen (Sie wurden inzwischen aus dem Store entfernt). Die Infektion beginnt damit, dass der Benutzer nach der Installation gezwungen wird, die App zu aktualisieren, damit er sie weiter nutzen kann. Nach dem erfolgreichen Download des vermeintlichen Updates fordert die App auf, die Installation von Apps aus unbekannten Quellen zuzulassen. Da der Nutzer zuvor in dem Glauben gelassen wurde, dass das Update für die ordnungsgemäße Funktion der App erforderlich ist, erteilt er diese Erlaubnis. Sobald die Aktualisierung abgeschlossen ist, wird die Malware auf dem Gerät ausgeführt und fordert den Benutzer sofort auf, Zugriffsrechte für den Dienst zu gewähren.

So erlangen die Kriminellen volle Kontrolle über das Gerät und können Aktionen im Namen des Benutzers durchführen. Jetzt wird die mit Malware infizierte App ausgeführt und funktioniert wie eine legitime App. Damit sind die Voraussetzungen für den Diebstahl von Anmeldedaten geschaffen, um so Zugriff auf alle Informationen zu erhalten, die auf dem Gerät angezeigt werden.

Apps, die QR-Codes erstellen

Trojanisierte Apps können sich als Programme zur Erstellung von QR-Codes tarnen. So setzte die Gruppe Brunhilda auf eine solche App, um Benutzer aufzufordern, sich zu registrieren. Sobald dies erfolgt und die App detaillierte Geräteinformationen erhalten hat, lädt sie einen Trojaner herunter und installiert ihn. Der soll dann sensible persönliche Infos wie Anmelde- oder Bankkontodaten stehlen.

Tipps für die Sicherheit von QR-Codes

Benutzer sollten folgende Best Practices befolgen, um QR-Code-Scams zu vermeiden:

  • Vergewissern Sie sich, dass die verlinkte Website einer Behörde oder eines anderen offiziellen Dienstanbieters vertrauenswürdig ist, bevor Sie Ihre persönlichen Daten angeben. Achten Sie auf Rechtschreibfehler in der URL selbst.
  • Überlegen Sie zweimal, bevor Sie einen QR-Code in Mails scannen, selbst wenn diese von Organisationen oder Personen zu stammen scheinen, die Sie kennen. Aktivieren Sie die Multifaktor-Authentifizierung bei Ihren Bank-, Unternehmens- und anderen Konten, um den Diebstahl von Anmeldedaten zu verhindern.
  • Überprüfen Sie bei Transaktionen in den Geschäftsräumen eines Händlers oder Dienstleisters den QR-Code, um sicherzustellen, dass er nicht über einen echten, legitimen Code geklebt wurde.
  • Verwenden Sie QR-Codes zum Bezahlen nur dann, wenn Sie direkt mit vertrauenswürdigen Händlern, Dienstleistern oder Personen, die Sie kennen, Transaktionen durchführen.
  • Seien Sie vorsichtig bei der Erteilung von Berechtigungen, wenn eine App danach fragt, da einige der angeforderten Berechtigungen gefährlich sein könnten.
  • Verwenden Sie die Standard-Kamera-App auf Ihrem Gerät, um QR-Codes zu scannen. (Die Standard-Kamera-Apps der meisten Betriebssysteme verfügen über integrierte QR-Code-Lesegeräte.) Als weitere Schutzschicht können Sie den Trend Micro QR Code Scanner für Android oder Trend Micro™ Mobile Security  für iOS und Android verwenden, um QR-Codes zu scannen und zu erkennen, ob sie Links zu potenziell gefährlichen Websites enthalten.
  • Installieren Sie eine mobile Sicherheits-App zum Schutz vor Viren und Malware, um Ihre Smartphones sicher zu halten.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.