Sonstiges

Fiese Sticker: Symantec warnt vor Malware-Masche mit QR-Code-Aufklebern

Plakat mit QR-Code

Zugegeben: Wenn mir irgendwo ein QR-Code ins Blickfeld rutscht, bin ich meist zu bequem, um extra mein Smartphone aus der Tasche zu kramen. Andererseits ist da oft auch diese Neugier, zu erfahren, was sich wohl hinter der wilden Ansammlung schwarz-weißer Klötzchen verbergen mag – der QR-Code als Zug, in den man einsteigt, ohne zu wissen, wohin die Reise eigentlich geht. Kann schon reizvoll sein.

Gut, in der Regel hängt so ein Code aber ja nicht einfach mutterseelenallein in der Gegend herum und wartet darauf, dass jemand vorbeikommt und die Kamera zückt. Es gibt vielleicht ein Plakat, oder ein paar Hinweise auf seinen Zweck. Und selbst wenn die Erklärung dürftig ausfällt, die verknüpfte Webadresse wird ja angezeigt. Handelt es sich bei dieser allerdings um eine kryptische Kurz-URL, sagt diese wenig aus. Und nun?

Die einen werden – genervt ob des Versteckspiels – von dannen ziehen, die anderen werden die Website trotzdem aufrufen. Solltet ihr zu letzterer Gruppe gehören, dann dürfte euch ein neuer Trend interessieren: Spam und Schadsoftware über QR-Codes. Grundlage dafür sind Aufkleber, die an belebten Orten in Städten oder auf Flughäfen unverdächtig etwa auf Werbeplakaten angebracht werden, erklärte Symantec-Manager Warren Sealey in der vergangenen Woche auf dem Ovum Banking Technology Forum 2012 in London. Wer die Codes mit dem Smartphone aufruft, landet dann auf präparierten Websites, über die etwa unbemerkt spezielle Malware verteilt wird. Klingt unwahrscheinlich? Vielleicht.


Neue Stellenangebote

Growth Marketing Manager:in – Social Media
GOhiring GmbH in Home Office
Senior Social Media Manager:in im Corporate Strategy Office (w/d/m)
Haufe Group SE in Freiburg im Breisgau
Senior Communication Manager – Social Media (f/m/d)
E.ON Energy Markets GmbH in Essen

Alle Stellenanzeigen


Man stelle sich aber beispielsweise folgendes Szenario vor: In der Nähe einer Bank wird auf ein Plakat derselben ein QR-Code gepappt. Wird dieser abgerufen, installiert sich entweder heimlich ein Trojaner oder es öffnet sich eine Phishing-Website, die der Bank-Seite gleicht. Was auch immer passiert, im Gegensatz zur klassisch-dummen Spam-Variante a la „Ihr Konto wurde leider gesperrt, bitte geben Sie hier 25 TAN-Nummern ein“ bleiben die Alarmglocken bei einem potenziellen Opfer vermutlich länger stumm, gibt es doch aufgrund der Gesamtsituation keinen Grund, misstrauisch zu werden. Zudem dürfte es später reichlich schwerfallen, das leergeräumte Konto überhaupt mit dem Plakat in Verbindung zu bringen.

Andererseits stellt sich die Frage, ob so viel Aufwand den – verglichen mit massenhaften Web-Attacken – eher mickrigen Ertrag rechtfertigt. Schließlich erinnert die Strategie ein wenig an den Taschendieb auf dem Frankfurter Weihnachtsmarkt, der am Abend mit ein paar hundert Euro nach Hause geht, während hinter den Glasfassaden 16 Etagen über ihm per Mausklick anonym und in Sekunden Millionen über Kontinente hinweg verschoben werden. Schon allein deshalb wird die Zahl finsterer Gestalten, die mit Kisten voller Aufkleber verstohlen durch die Zentren unserer Städte ziehen, wohl überschaubar bleiben.

Bild: briansuda (CC BY 2.0)

Über den Autor

Christian Wolf

Christian Wolf wird am Telefon oft mit "Wulff" angesprochen, obwohl er niemals Bundespräsident war und rast gerne mit seinem Fahrrad durch Köln. Er hat von 2011 bis 2014 für BASIC thinking geschrieben.

9 Kommentare

  • Ich merke es selbst, dass QR-Codes ihren Reiz haben.
    Ist irgendwo ein QR-Code (Flyer o.Ä.) und man ist gerade nicht sehr beschäftigt, scannt man gerne mal ein.

    Malware über QR-Codes? Nunja, wie du schon sagst, das ist ganz schön viel Aufwand.
    Eine nettere Idee ist es, wahllos auf Straßenlaternen und ähnliches kommentarlose QR-Codes zu kleben, hinter denen ein kleines Gedicht oder ein Rätsel steckt.
    Die Aufrufstatistiken wären interessant… ohne URL, nur mit Text dahinter gibts die aber nicht…

  • ….das ist ganz schön viel Aufwand

    Nunja man muss aber Bedenken das durch einen QR-Codes auch hunderte Smartphone Inviziert werden könnten zumal wenn sie puplikumswirksam Angebracht werden.
    Viel gefährlicher in Punkto Malware halte ich sogar den Nachfolger der QR-Codes , den
    Touchcode mittels NFC-Verfahrens , er kann Scripte auf dem Smartphone für den Nutzer unbemerkt Ausführen, es reicht bei NFC-Chip Aktivierung ein „Vorbeigehen“.

  • Zum Glück haben diese Codes auf mich keinen Reiz, weil sich dahinter meistens nur schnöde Werbung verbirgt.

  • Ist über den QRCode
    Scan For Points zu lesen
    handelt es sich um ein munzee,ein Spiel ähnlich geocaching.
    Oft werde diese aber eher versteckt, damit die Muggels
    die codes nicht entfernen

  • Wenn ich mich nicht richtig täusche, dann landet man doch nie auf der Webseite (wenn diese da hinterlegt ist), sondern erhält von der App (die das Scannt) eine Info über den lesbaren Code dahinter.
    Also bei Text, steht der Text. Bei einer Webseite steht die URL
    Erst dann hat man die Möglichkeit die Webseite zu besuchen oder zb den Link zu kopieren.
    So war das bei mir beim iPhone und nun bei Andoid so.
    Ist das auf anderen Handys nicht so? Falls nicht, dann etwas Panikmache.
    Wer noch mehr Infos will (hatte mal das zusammengefasst)
    http://sebastian-michalke.de/qr-code-selbst-erstellen/

    • Du hast recht, allerdings denke ich – wie auch geschrieben -, dass in diesen Fällen dann wohl eine Kurz-URL genutzt werden dürfte, um das Ziel zu verschleiern. Insofern ist es eben nicht erkennbar, wohin der Link führt. 🙂

  • „der QR-Code als Zug, in den man einsteigt, ohne zu wissen, wohin die Reise eigentlich geht. Kann schon reizvoll sein.“

    Naja. Eigentlich nicht wirklich oder? 😉
    Hätte aber nicht gedacht, dass die Codes tatsächlich genutzt werden.