Vor ein paar Tagen geisterten vermeintlich gefälschte DHL-Benachrichtigungskarten mit manipulierten QR-Codes durchs Internet, vor denen DHL anschließend auch offiziell warnte. Später stellte sich das jedoch als Irrtum heraus und die entsprechende Warnung wurde wieder einkassiert. Bei Mimikama gibt es einen Überblick über die Geschehnisse.
Dennoch sollte man für diese Art von Betrug sensibilisiert sein. QR-Codes stellen zwar gerade unterwegs eine oftmals dankbar angenommene Abkürzung zu Webseiten dar, wenn man am Handy keine langen Links abtippen will. Gleichwohl ist Betrug mit manipulierten QR-Codes ohne großen Aufwand und an vielen Stellen möglich. Jedes Mal, wenn ich mit dem Zug fahre und im ICE an den Vordersitzen die Aufkleber mit den QR-Codes für das Kundenfeedback und den Komfort-Check-in sehe, werde ich zum Beispiel daran erinnert.
In der Bahn und an ganz vielen anderen Stellen im öffentlichen Raum können QR-Codes einfach überklebt oder ausgetauscht werden, ohne dass es auf den ersten Blick jemand bemerkt. Oder es werden eben Fake-Benachrichtigungskarten von Paketdienstleistern oder ähnliches verteilt.
Seid deshalb vorsichtig mit QR-Codes und überprüft lieber zweimal, ob der hinterlegte Link zu einer seriösen Seite führt. Insbesondere, weil bei QR-Codes ja häufig Kurzlinks verwendet werden. Eine simple Lösung gibt es ohnehin: QR-Codes meiden.
Bei QR-Codes kann man sich einigermaßen schützen, indem man eine App verwendet, die den Link zur Prüfung anzeigt, bevor er ausgeführt wird.
Z. B. Privacy Friendly QR-Scanner App von Secuso, https://secuso.aifb.kit.edu/QR_Scanner.php
Die Forschungsgruppe SECUSO (Security • Usability • Society) gehört zum Institut für Angewandte Informatik und Formale Beschreibungsverfahren (AIFB) des Karlsruher Instituts für Technologie (KIT)
Linkverkürzer sind m. E. die schlimmere Gefahr, jedenfalls ist mir kein Weg zur gefahrlosen Prüfung bekannt.
Für Shortlinks würde mir ad hoc ein URL Scanner wie urlscan.io oder URL Risk Analyzer von Zscaler einfallen.
Da wird der Link aufgerufen, aufgelöst und ein Screenshot (bei urlscan.io) der Webseite gemacht.
In Kombination mit einem QR Scanner, der einen die URL kopieren lässt und nicht nur direkt im Browser öffnet, wäre das dann auch am Smartphone praktikabel
Tut mir leid, aber ich kann einfach nicht verstehen wieso jemand auf gefälschte Paketbenachrichtigungen reinfallen kann.
Man weiß doch wann und bei wem man ein Paket bestellt hat.
Und dank Sendungsverfolgung weiß man auch immer wo sich sein Paket befindet.
Ich kenne jedenfalls keine Firma wo ich Online was bestelle das diese keine Sendungsnummer zur Paketverfolgung per Email schicken sobald das Paket versendet wurde.
All die Phishing Arten lassen sich zu 100% vermeiden wenn man sein Hirn nutzt! Es gibt da draußen Malware (DriveBy; no Click,; Firmware malware/UEFI Malware) da bist du gearscht… Phishing egal ob per QRCode oder sonstige Art gehört nicht dazu! Phishing zielt auf Dumme ab und wie man sieht gibts davon massenhaft.
Naja wird nicht so viel passieren bei postsachen aber wenn man gerade viel bestellt, ganzen. zimmer neu bestellt und noch 20 andere Sachen im Kopf hat, tja.
Ich tu keine QR Code abscannen, ausser wenn ich die stream app im magentatv one 2gen aktiviere, da kann eher nicht was veränder werden.
Bei url selber bin ich immer vorsichtig in Email
Also ich hatte noch nie ein Angriff von aussen durchgelassen, wobei eigentlich auch ne Unsicherheit schützt, alle pws im Browser wenn ich jetzt zum Bleistift, wirklich mal reinfalle währe auf der original Seite ja mein pw angezeigt, weil ist selten bei je 500 pws in beiden Browser das ich auf ne neue Seite treffe.
Aber das passier schon mal nicht weil ich URLs anschaue und wenn ich die URLs nicht gerade angefordert habe immer über original Seite schaue, besser gesagt zu 100% ne plissing Email erkenne. Wo ja das selbe ist wenn ich mich den auf, einer gefälschten dhl Webseite anmelden muss, über QR code.
Ach ja immer das selbw, banken, Firmen und so können sich ne eigene Webseite leisten, die müssen sich nicht auf einer, 500 km langen URL einmieten. Lach
Meine Frau und ich bestellen sehr viel und häufig. Es kam schon oft vor, dass plötzlich ein Paket vor der Tür stand, an das wir gar nicht mehr gedacht haben. Aber wir haben den Vorteil, dass wir in einem EFH leben mit uneinsehbarer Haustür. Zudem hat der Nachbar alles mit Kameras zugepflastert und die Schweizer Post stellt Pakete grundsätzlich vor die Tür und klingelt (verschwindet dann aber sofort, falls keine Unterschrift nötig ist). Falls mal eine Sendung eine Unterschrift benötigt, liegt ein Zettel im Kasten. Da ist kein Link und kein QR-Code drauf, sondern lediglich der Hinweis, wo man die Sendung gegen Unterschrift abholen kann. Das funktioniert sehr gut.
Da man hier keine QR-Codes auf Abholbenachrichtigungen kennt, wäre man hier recht verwundert, wenn da plötzlich sowas im Kasten liegt. Zumindest hoffe ich das. Aber die Realität sieht dann meist anders aus.