Zugegeben: Wenn mir irgendwo ein QR-Code ins Blickfeld rutscht, bin ich meist zu bequem, um extra mein Smartphone aus der Tasche zu kramen. Andererseits ist da oft auch diese Neugier, zu erfahren, was sich wohl hinter der wilden Ansammlung schwarz-weißer Klötzchen verbergen mag – der QR-Code als Zug, in den man einsteigt, ohne zu wissen, wohin die Reise eigentlich geht. Kann schon reizvoll sein.
Gut, in der Regel hängt so ein Code aber ja nicht einfach mutterseelenallein in der Gegend herum und wartet darauf, dass jemand vorbeikommt und die Kamera zückt. Es gibt vielleicht ein Plakat, oder ein paar Hinweise auf seinen Zweck. Und selbst wenn die Erklärung dürftig ausfällt, die verknüpfte Webadresse wird ja angezeigt. Handelt es sich bei dieser allerdings um eine kryptische Kurz-URL, sagt diese wenig aus. Und nun?
Die einen werden – genervt ob des Versteckspiels – von dannen ziehen, die anderen werden die Website trotzdem aufrufen. Solltet ihr zu letzterer Gruppe gehören, dann dürfte euch ein neuer Trend interessieren: Spam und Schadsoftware über QR-Codes. Grundlage dafür sind Aufkleber, die an belebten Orten in Städten oder auf Flughäfen unverdächtig etwa auf Werbeplakaten angebracht werden, erklärte Symantec-Manager Warren Sealey in der vergangenen Woche auf dem Ovum Banking Technology Forum 2012 in London. Wer die Codes mit dem Smartphone aufruft, landet dann auf präparierten Websites, über die etwa unbemerkt spezielle Malware verteilt wird. Klingt unwahrscheinlich? Vielleicht.
Man stelle sich aber beispielsweise folgendes Szenario vor: In der Nähe einer Bank wird auf ein Plakat derselben ein QR-Code gepappt. Wird dieser abgerufen, installiert sich entweder heimlich ein Trojaner oder es öffnet sich eine Phishing-Website, die der Bank-Seite gleicht. Was auch immer passiert, im Gegensatz zur klassisch-dummen Spam-Variante a la „Ihr Konto wurde leider gesperrt, bitte geben Sie hier 25 TAN-Nummern ein“ bleiben die Alarmglocken bei einem potenziellen Opfer vermutlich länger stumm, gibt es doch aufgrund der Gesamtsituation keinen Grund, misstrauisch zu werden. Zudem dürfte es später reichlich schwerfallen, das leergeräumte Konto überhaupt mit dem Plakat in Verbindung zu bringen.
Andererseits stellt sich die Frage, ob so viel Aufwand den – verglichen mit massenhaften Web-Attacken – eher mickrigen Ertrag rechtfertigt. Schließlich erinnert die Strategie ein wenig an den Taschendieb auf dem Frankfurter Weihnachtsmarkt, der am Abend mit ein paar hundert Euro nach Hause geht, während hinter den Glasfassaden 16 Etagen über ihm per Mausklick anonym und in Sekunden Millionen über Kontinente hinweg verschoben werden. Schon allein deshalb wird die Zahl finsterer Gestalten, die mit Kisten voller Aufkleber verstohlen durch die Zentren unserer Städte ziehen, wohl überschaubar bleiben.
