Vor ein paar Tagen geisterten vermeintlich gefälschte DHL-Benachrichtigungskarten mit manipulierten QR-Codes durchs Internet, vor denen DHL anschließend auch offiziell warnte. Später stellte sich das jedoch als Irrtum heraus und die entsprechende Warnung wurde wieder einkassiert. Bei Mimikama gibt es einen Überblick über die Geschehnisse.
Dennoch sollte man für diese Art von Betrug sensibilisiert sein. QR-Codes stellen zwar gerade unterwegs eine oftmals dankbar angenommene Abkürzung zu Webseiten dar, wenn man am Handy keine langen Links abtippen will. Gleichwohl ist Betrug mit manipulierten QR-Codes ohne großen Aufwand und an vielen Stellen möglich. Jedes Mal, wenn ich mit dem Zug fahre und im ICE an den Vordersitzen die Aufkleber mit den QR-Codes für das Kundenfeedback und den Komfort-Check-in sehe, werde ich zum Beispiel daran erinnert.
In der Bahn und an ganz vielen anderen Stellen im öffentlichen Raum können QR-Codes einfach überklebt oder ausgetauscht werden, ohne dass es auf den ersten Blick jemand bemerkt. Oder es werden eben Fake-Benachrichtigungskarten von Paketdienstleistern oder ähnliches verteilt.
Seid deshalb vorsichtig mit QR-Codes und überprüft lieber zweimal, ob der hinterlegte Link zu einer seriösen Seite führt. Insbesondere, weil bei QR-Codes ja häufig Kurzlinks verwendet werden. Eine simple Lösung gibt es ohnehin: QR-Codes meiden.
Bei QR-Codes kann man sich einigermaßen schützen, indem man eine App verwendet, die den Link zur Prüfung anzeigt, bevor er ausgeführt wird.
Z. B. Privacy Friendly QR-Scanner App von Secuso, https://secuso.aifb.kit.edu/QR_Scanner.php
Die Forschungsgruppe SECUSO (Security • Usability • Society) gehört zum Institut für Angewandte Informatik und Formale Beschreibungsverfahren (AIFB) des Karlsruher Instituts für Technologie (KIT)
Linkverkürzer sind m. E. die schlimmere Gefahr, jedenfalls ist mir kein Weg zur gefahrlosen Prüfung bekannt.