Die US-amerikanische Federal Trade Commission (FTC) warnt vor Vorsicht beim Erhalt seltsamer E-Mails oder Nachrichten, in denen Nutzer aufgefordert werden, QR-Codes zu scannen, weil ihre Konten Anzeichen von Unregelmäßigkeiten aufweisen oder ein Problem mit ihren Lieferaufträgen vorliegt. Diese bösartigen QR-Codes leiten Benutzer auf gefälschte Websites um, um persönliche Informationen zu stehlen.

Kern Smith, Vizepräsident des Mobilsicherheitsunternehmens Zimperium, sagte, dass Angriffe auf Mobiltelefone exponentiell zunehmen, weil die Anti-Phishing-Systeme vieler Unternehmen nicht in der Lage seien, gefälschte QR-Codes zu stoppen.

Angriffe auf Basis von QR-Codes sind nichts Neues, aber Kriminelle wenden diesen raffinierten Trick immer häufiger an, sagt Shyava Tripathi, Forscher beim Cybersicherheitsunternehmen Trellix. Allein im dritten Quartal 2023 hat Trellix mehr als 60.000 bösartige QR-Codes entdeckt.

In mehreren Städten in Texas (USA) hat die Polizei auf Parkuhren gefälschte QR-Codes gefunden, die auf eine gefälschte Zahlungswebsite verwiesen. Wenn der Benutzer zahlt, wird das Geld auf das Konto des Betrügers überwiesen und es besteht die Gefahr, dass seine Anmeldeinformationen gestohlen werden.

Laut The Independent verlor eine 71-jährige Frau in Großbritannien 13.000 Pfund, weil ihre Zahlungskarteninformationen nach dem Scannen eines gefälschten QR-Codes offengelegt wurden. Obwohl die von ihr genutzte Bank eine Reihe betrügerischer Transaktionen blockierte, rief der Betrüger das Opfer weiterhin an, gab sich als Bankangestellter aus und überredete sie, weitere Informationen preiszugeben. Nach dem erfolgreichen Diebstahl der Informationen erstellt der Betrüger ein neues Konto, um Geld zu leihen und eine Kreditkarte unter der Identität des Opfers zu erstellen.

Steve Jeffery, Ingenieur beim globalen Automatisierungs- und Cybersicherheitsunternehmen Fortra, sagte, dass die meisten E-Mail-Sicherheitssysteme den Inhalt von QR-Codes nicht überprüfen, was es schwierig macht, das Eindringen von Phishing-Nachrichten zu verhindern. Anstatt den Link direkt zu senden, versenden die Bösewichte ihn per QR-Code.

Einem Bericht des Sicherheits- und Risikomanagementunternehmens Reliaquest zufolge ist die Zahl der QR-bezogenen Betrugsfälle im September im Vergleich zur Gesamtzahl der vorangegangenen acht Monate um 51 % gestiegen. Dieser Anstieg ist auf die Popularität von Smartphones und die mangelnde Wachsamkeit der Benutzer beim Scannen von QR-Codes zurückzuführen.

Laut The Verge empfiehlt die FTC den Benutzern, ihre Geräte regelmäßig zu aktualisieren, sichere Passwörter zu erstellen und für wichtige Konten eine Multi-Faktor-Authentifizierung einzurichten. Benutzer sollten keine Apps zum Scannen von QR-Codes herunterladen, da die Kamera-App auf Android und iOS diese Funktion bereits integriert hat. Benutzer müssen den Linknamen vor dem Klicken auch sorgfältig prüfen, da Kriminelle Buchstaben austauschen können, die vom ursprünglichen Namen abweichen.