Unternehmenssicherheit in Gefahr: Risiko durch Missbrauch von QR-Codes steigt

Foto: s.dali – shutterstock.com

Zu den zahlreichen technologischen Auswirkungen der Corona-Pandemie gehört auch die zunehmende Verwendung von QR-Codes (Quick-Response). Die Schwachstellen dieser mobilen Technologie werden jedoch gerne von Cyberkriminellen ausgenutzt. Sicherheitsteams sollten diese Bedrohung daher im Auge behalten. Der Bericht QRurb Your Enthusiasm 2021 des Endpoint-Management- und Sicherheitsanbieters Ivanti zeigt, dass die Nutzung von QR-Codes und die Zahl der Anwendungsfälle weltweit zunehmen.

Bewusstsein für Risiken fehlt

Unternehmen hinken beim Schutz gegen QR-Code-gestützte Bedrohungen hinterher. So gaben 83 Prozent der Befragten an, in den vergangenen drei Monaten einen QR-Code für eine Finanztransaktion verwendet zu haben, aber die meisten von ihnen waren sich der Risiken nicht bewusst. Nur 47 Prozent wussten, dass durch das Scannen eines QR-Codes eine URL geöffnet werden kann. Lediglich 37 Prozent wussten, dass es damit möglich ist, eine Anwendung herunterzuladen.

QR-Codes werden bisher im Einzelhandel, in Restaurants, Bars und anderen Einrichtungen gescannt. Viele Anwender wünschen sich jedoch, dass die Technik in Zukunft auch in größerem Umfang als Zahlungsmethode eingesetzt wird. Gleichzeitig, so der Bericht, nutzen immer mehr Menschen ihre eigenen ungesicherten Geräte, um mit anderen in Kontakt zu treten und mit einer Vielzahl von Cloud-basierten Diensten zu interagieren.

Die Analyse zeigt zudem, dass QR-Codes auch für alltägliche Aufgaben verwendet werden. Dadurch würden sich die Nutzer nicht nur selbst gefährden, sondern auch die Unternehmensressourcen, so die Forscher.

“Ein erfolgreicher Angriff auf das persönliche Mobilgerät eines Mitarbeiters könnte dazu führen, dass dessen persönliche Daten kompromittiert oder seine finanziellen Ressourcen aufgebraucht werden, und dass sensible Unternehmensdaten in die falschen Hände geraten”, warnt Alex Mosher, Global Vice President bei MobileIron.

Wie Angreifer QR-Codes ausnutzen

Dem Bericht zufolge zielen Cyberkriminelle mit ausgeklügelten Angriffen zunehmend auf mobile Geräte ab. Das Problem: Benutzer sind oft abgelenkt, wenn sie mit ihren mobilen Geräten arbeiten. Dadurch werden sie eher Opfer von Attacken.

Angreifer könnten eine bösartige URL mit Malware in einen QR-Code einbetten, um damit Daten von einem mobilen Gerät abzugreifen, heißt es in dem Bericht. Zudem könnten sie auch einen schädlichen Link einbauen, der zu einer Phishing-Website führt und die Benutzer dazu auffordert, ihre Anmeldedaten preiszugeben.

“Es liegt in der Natur der Sache, dass QR-Codes nicht für Menschen lesbar sind. Daher ist es einfach und äußerst effektiv, einen QR-Code so zu verändern, dass er auf eine alternative Ressource verweist, ohne entdeckt zu werden”, erklärt Mosher von MobileIron.

Fast drei Viertel der in der Ivantie-Studie befragten Personen können nicht zwischen einem legitimen und einem bösartigen QR-Code unterscheiden. “Während die meisten wissen, dass QR-Codes eine URL öffnen können, sind sie sich weniger über andere Funktionen bewusst”, so der Bericht.

Was QR-Code-Sicherheitsbedrohungen besonders problematisch macht, ist der Überraschungsmoment. “Mir sind keine direkten Angriffe auf QR-Codes bekannt, aber es gibt zahlreiche Beispiele dafür, dass Angreifer ihre eigenen QR-Codes im Rahmen von Angriffen verwenden”, sagt Chris Sherman, Senior Industry Analyst bei Forrester Research.

“Das Hauptproblem besteht darin, dass QR-Codes mehrere Aktionen auf dem Gerät des Benutzers auslösen können, wie das Öffnen einer Website, das Hinzufügen eines Kontakts oder das Verfassen einer E-Mail. Aber der Benutzer hat oft keine Ahnung, was passiert, wenn er den Code scannt”, erklärt Sherman. “Normalerweise kann man sich die URL ansehen, bevor man darauf klickt, aber das ist bei QR-Codes nicht immer der Fall.”

Dem Forrester-Experten zufolge ist es eine gängiger Angriffsmethode, einen bösartigen QR-Code in der Öffentlichkeit zu platzieren, der den legitimen QR-Code verdeckt. Wenn Benutzer den Code scannen, werden sie auf eine bösartige Webseite weitergeleitet, die ein Exploit-Kit enthalten könnte. “Dies kann zu einer weiteren Kompromittierung des Geräts oder möglicherweise zu einer gefälschten Anmeldeseite führen, um Benutzerdaten zu stehlen”, so der Analyst.

Diese Phishing-Methode ist laut Sherman die häufigste Form des QR-Missbrauchs. “QR-Angriffe, die zum Diebstahl von Anmeldeinformationen, zur Kompromittierung von Geräten oder zum Datendiebstahl führen, stellen die größten Probleme für Unternehmen und Verbraucher dar”, fasst er zusammen.

Wenn QR-Codes zu Bezahlseiten führen, könnten Benutzer ihre Passwörter und andere persönliche Informationen preisgeben, die in die falschen Hände geraten könnten. “Viele Websites führen Drive-by-Downloads durch, das heißt, schon die bloße Anwesenheit auf der Website kann den Download von Schadsoftware auslösen”, sagt Rahul Telang, Professor für Informationssysteme am Heinz College der Carnegie Mellon University. “Mobile Geräte sind in der Regel weniger sicher als Laptops oder PCs. Da QR-Codes auf mobilen Geräten verwendet werden, ist auch die Wahrscheinlichkeit einer Anfälligkeit höher.”

Viele dieser mobilen Geräte werden im Rahmen der Unternehmens-IT eingesetzt. Wenn Angreifer in die Devices eindringen, kann dies zu einer Sicherheitsschwachstelle für Unternehmen werden, mahnt Telang.

Kürzlich warnte der CEO eines britischen Technologieunternehmens die britische Regierung vor potenziell schwerwiegenden Sicherheitsmängeln bei persönlichen Informationen und Daten, die in einer neuen App zur Kontaktverfolgung verwendet werden, die auf der QR-Code-Scantechnologie basiert. Laut Louis James Davis, CEO von VST Enterprises, wird die Technologie einem Prozess zugeordnet, der als “Attagging” oder Klonen bezeichnet wird. Beim Attagging wird ein echter QR-Code durch einen geklonten QR-Code ersetzt, der die Benutzer auf eine ähnliche Website umleitet, auf der persönliche Daten abgefangen und abgefangen werden können.

Wie QR-Codes Quishing ermöglichen

“Quishing” ist der Begriff für Phishing-Versuche, die auf QR-Codes basieren. Diese Variante ist beliebt, weil sie weniger auffällig ist als andere Phishing-Methoden. Laut einer aktuellen Untersuchung der Trustwave SpiderLabs benötigen QR-Codes einen kürzeren HTML-Quellcode, um einen bösartigen Link einzubetten. Die meisten E-Mail-Filter überprüfen den Inhalt von Nachrichten, um verdächtige URLs zu blockieren, so dass Quishing weniger “rote Fahnen” für die Abwehrsysteme darstellt.

Quishing-E-Mails sehen ähnlich aus wie Phishing-E-Mails, mit dem Unterschied, dass sie einen QR-Code enthalten. Beide imitieren Nachrichten von seriösen Unternehmen. Wie die SpiderLabs-Untersuchung zeigt, sind Quishing-E-Mails oft als Benachrichtigungen zur Multifaktor-Authentifizierung von bekannten Marken wie Microsoft oder DocuSign getarnt.

Der Angreifer gaukelt dem Nutzer vor, dass seine Sitzung abgelaufen ist und er sich erneut authentifizieren muss. Bei Verwendung des QR-Codes wird das Opfer auf eine gefälschte Webseite weitergeleitet, auf der es nach Konto- und Anmeldeinformationen gefragt wird.

Wie lässt sich das Risiko von QR-Code-Angriffen mindern?

Einzelpersonen und Organisationen können Maßnahmen ergreifen, um das Risiko von QR-Code-Bedrohungen zu mindern. Dazu gehört auch, den gesunden Menschenverstand zu benutzen. So können User beispielsweise die Legitimität von Codes prüfen, bevor sie sie scannen. “Vor dem Scannen eines Codes, insbesondere eines Codes auf gedrucktem Material an einem öffentlichen Ort, sollte man sich vergewissern, dass er nicht mit einem anderen – und möglicherweise bösartigen – Code überklebt wurde”, empfiehlt Mosher.

Laut Sherman sollte man am besten keine QR-Codes verwenden, die in irgendeiner Weise verändert zu sein scheinen. “Achten Sie außerdem auf die URL, zu der Sie weitergeleitet werden, auch wenn dies nicht immer möglich ist, bevor Sie die Website besuchen, da einige Codes die URL nicht anzeigen”, ergänzt der Forrester-Analyst. “Melden Sie sich niemals über einen QR-Code bei einer App an.”

Da Phishing-Angriffe zu den größten Risiken bei QR-Codes gehören, müssen die Benutzer wachsam sein und sicherstellen, dass sie sich auf einer legitimen Website befinden”, betont Telang. Unternehmen sollten über eine einheitliche Endpunktlösung verfügen, die ihnen die Möglichkeit gibt, jedes Gerät zu sichern, ohne die Produktivität zu beeinträchtigen.

“Außerdem ist es wichtig, dass alle Geräte, die für den Zugriff auf Unternehmensressourcen verwendet werden, mit Sicherheitsfunktionen wie Mobile Threat Defense und Exploit-Schutz ausgestattet sind”, fügt Sherman hinzu.

Zudem sollten die QR-Codes geprüft werden, ob sie legitim sind. “Wenn die Quelle des QR-Codes zweifelhaft erscheint, sollten Sie ihn nicht scannen”, sagt Mosher. Es sei am besten, URLs zu vermeiden, die sich von der legitimen URL eines Unternehmens unterscheiden, vor allem, wenn sie einen Benutzer auf eine andere Website umleiten. (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.