Werbeagentur für Corporate Design, Online Marketing, Kommunikation, Employer Branding

Achtung, Atagge! Sicherheitsrisiken durch QR-Code-Hijacking

Der Begriff „QR-Code" etabliert sich weiter: Rund 30 % von 1500 befragten Deutschen konnten sich im Mai 2012 etwas unter dieser Bezeichnung vorstellen. Auch wir stellten das grundsätzliche Konzept an dieser Stelle bereits vor. Und: In London findet am 24. Oktober 2012 mit der QR WORLD EXPO 2012 gar die nach eigenen Angaben erste reine QR-Code-Fachmesse statt.

Hier und heute soll es nun aber ausnahmsweise einmal nicht um Zielgruppenaffinität, Werbewirksamkeit, Conversion Rates oder gar neue Gestaltungsmöglichkeiten von QR-Codes gehen. Vielmehr wollen wir warnen. Denn mit neuen Techniken kommt auch neues Ungemach. Und gibt es erst mal neue Förmchen in der großen Sandkiste der Möglichkeiten, sind auch die bösen Kinder nicht weit. Die spielen damit dann aber ganz anders, als es eigentlich mal gedacht war.

Spiel mit dem Gewissen

Stellen wir uns einmal folgendes Szenario vor: Eine karitative Einrichtung mietet Plakatflächen in mehreren deutschen Großstädten an. Beworben wird eine Spendenaktion. Für Opfer eines Erdbebens, einer Flutkatastrophe, eines Waldbrandes, egal – Hauptsache, das Mitleid und damit die Aufmerksamkeit des Betrachters ist geweckt. Im Idealfall ist er dann nämlich bereit für eine auf den Plakaten angebotene Option: Per QR-Code ohne Umwege auf einer Website zu landen, auf der mobil eine vertretbare Summe gespendet werden kann. Eigentlich eine gute Sache, weil niederschwellig und gewissensberuhigend.

Eigentlich. Denn im beschriebenen Fall kommt das gespendete Geld nicht an – jedenfalls nicht dort, wo es dem edlen Spender nach hingehört. Denn hier wird die vermeintliche Stärke der QR-Codes zur Schwäche: Sie sind einfach und schnell zu produzieren. Was sich jedoch genau hinter ihnen verbirgt, ist für technische Laien nicht ohne weiteres zu erkennen.

Achtung, Attagge!

Was war passiert? Bösewichte überklebten in einer nächtlichen Aktion die Original-Codes auf den Plakaten mit selbst-angefertigten Codes. Diese schickten Spender auf eine Website, die der karitative Ursprungsseite bis auf den Pixel gleicht – das Geld landete jedoch in Betrügerhänden. Man bezeichnet dies häufig als „QR-Code-Hijacking". Nerdiger ist der Begriff – „Attagging" (abgeleitet aus engl. "to attack" und "tag").

Geht es noch perfider?

Natürlich, denn: „Geht nicht gibt's nicht". Zum Beispiel können QR-Code-Aufkleber auf Plakaten aufgebracht werden, auf denen ursprünglich gar kein Code eingesetzt wurde. Ein Platz dafür findet sich (fast) immer. Das mittlerweile bekannte schwarz-weiße Erscheinungsbild eines QR-Codes lässt kaum mehr jemanden stutzen. Wenn die Zielseite dann auch noch zum Corporate Design des werbenden Unternehmens passt, ist die Tarnung perfekt.

Die Motive für Betrügereien mit „gefälschten" QR-Codes sind vielfältig und reichen von Guerilla-Aktionen bis zu schwerkriminellen Handlungen. An dieser Stelle nur einige typische Beweggründe:

  • Umlenken des Nutzers zu Konkurrenzangeboten
  • Abfischen von persönlichen Angaben
  • Reputationsschädigung
  • Anwahl einer Premium-Telefonnummer mit hohen Kosten
  • Auslesen von Geoinformationen/Standorten
  • Virus/Trojaner-Download
  • politische Statements/Whistleblowing
  • Passwortdiebstahl
  • Kreditkartenbetrug

Wie schlimm ist das denn jetzt wirklich?

Zurück zum (fiktiven) Beispiel der überklebten Spendenaktion-Plakate:Sicher, irgendwann fällt das mal irgendjemandem auf. Im schlechtesten Fall ist dann aber schon eine beträchtliche Summe an Geld geflossen und die Code-Betrüger sind über alle Berge.

Das ist so wie mit den Geldautomaten, an denen von technisch-versierten Ganoven kleine Geräte angebracht werden, die die Eingabe der PIN abfotografieren. Oder dem freundlichen, Kurierdienst-Mann im UPS-Overall, der ohne weitere Nachfrage in die Konzernzentrale marschieren kann und Waren mitnimmt, anstatt welche mitzubringen. Und was war auf dem USB-Stick, der neulich als Werbegeschenk ankam, eigentlich noch so drauf?

Die Guten ins Töpfchen, die Schlechten ins Kröpfchen – den Nutzer schützen

Ojemine. Ist der QR-Code damit gestorben? Und wir alle hilflos kriminellen Überklebern ausgeliefert? Nicht unbedingt. Denn es gibt durchaus Möglichkeiten, Nutzer von QR-Code-Technologien vor Missbrauch zu schützen. Terence Eden hat in seinem Blog dazu einige Ideen gesammelt:

In direkter Nähe des abgedruckten QR-Codes beschreiben, wohin dieser führt und was die Funktion ist, sodass dem Nutzer abweichende Vorgänge auffallen

  • Die Zieladresse ausgeschrieben neben dem QR-Code platzieren
  • Sogenannte URL-Shortener (bit.ly/xyz) vermeiden, immer die offizielle Domain des Unternehmens nutzen
  • Generell aber kurze URLs nutzen, damit diese im QR-Code-Reader des Nutzers möglichst vollständig angezeigt werden
  • Individuell gestaltete QR-Codes (z. B. mit Logo oder abgewandelte Formen) verwenden, da schwerer zu imitieren
  • Farbige Hintergründe nutzen, schwarz-weiß-Varianten sind schneller zu fälschen

Beherzigen Unternehmen diese Tipps, verderben sie damit in der Regel Betrügern die Lust, ihre Codes zu hijacken. Denn die ganze Idee basiert ja darauf, dass Attagging schnell und ohne Aufwand zu betreiben ist.

Aber auch der Nutzer ist in der Verantwortung. Denn es gilt das Gleiche wie bei allen neuen Technologien: Ein allzu sorgloser, unbedarfter Umgang kann sich rächen. Und genau wie sich nicht hinter jedem vermeidlich harmlosen E-Mail-Anhang etwas Gutes verbirgt, führt nicht jeder QR-Code „in freier Wildbahn“ zu immer unbedenklichen Inhalten.