Die US-amerikanische Federal Trade Commission (FTC) warnt davor, beim Erhalt seltsamer E-Mails oder Nachrichten mit der Aufforderung zum Scannen von QR-Codes vorsichtig zu sein, weil ihre Konten Anzeichen von Unregelmäßigkeiten aufweisen oder ein Problem mit ihren Lieferaufträgen vorliegt. Diese bösartigen QR-Codes leiten Benutzer auf gefälschte Websites um, um persönliche Informationen zu stehlen.

Kern Smith, Vizepräsident des Mobilsicherheitsunternehmens Zimperium, sagte, dass Angriffe auf Mobiltelefone exponentiell zunehmen, weil die Anti-Phishing-Systeme vieler Unternehmen nicht darauf ausgelegt seien, gefälschte QR-Codes zu stoppen.

Angriffe auf Basis von QR-Codes sind nichts Neues, aber Bösewichte wenden diesen raffinierten Trick immer häufiger an, sagt Shyava Tripathi, Forscher beim Cybersicherheitsunternehmen Trellix. Allein im dritten Quartal 2023 hat Trellix mehr als 60.000 bösartige QR-Codes entdeckt.

In mehreren Städten in Texas (USA) hat die Polizei auf Parkuhren betrügerische QR-Codes gefunden, die auf eine gefälschte Zahlungswebsite verlinkten. Wenn der Benutzer zahlt, wird das Geld auf das Konto des Betrügers überwiesen und es besteht das Risiko, dass seine Anmeldeinformationen gestohlen werden.

Laut The Independent verlor eine 71-jährige Frau in Großbritannien 13.000 Pfund, weil ihre Zahlungskarteninformationen nach dem Scannen eines gefälschten QR-Codes offengelegt wurden. Obwohl die von ihr genutzte Bank eine Reihe betrügerischer Transaktionen blockierte, rief der Betrüger ihr Opfer weiterhin an, gab sich als Bankangestellter aus und überredete sie, weitere Informationen preiszugeben. Nach dem erfolgreichen Diebstahl der Informationen eröffnet der Betrüger ein neues Konto, um Geld zu leihen und eine Kreditkarte unter der Identität des Opfers zu erstellen.

Steve Jeffery, Ingenieur beim globalen Automatisierungs- und Cybersicherheitsunternehmen Fortra, sagte, dass die meisten E-Mail-Sicherheitssysteme den Inhalt von QR-Codes nicht überprüfen, was es schwierig mache, das Eindringen von Phishing-Nachrichten zu verhindern. Anstatt den Link direkt zu versenden, verschicken die Bösewichte ihn per QR-Code.

Einem Bericht des Sicherheits- und Risikomanagementunternehmens Reliaquest zufolge nahmen QR-bezogene Betrugsfälle im September im Vergleich zur kumulierten Zahl der vorangegangenen acht Monate um 51 % zu. Dieser Anstieg ist auf die Popularität von Smartphones und die mangelnde Wachsamkeit der Benutzer beim Scannen von QR-Codes zurückzuführen.

Laut The Verge empfiehlt die FTC den Benutzern, ihre Geräte regelmäßig zu aktualisieren, sichere Passwörter zu erstellen und für wichtige Konten eine Multi-Faktor-Authentifizierung einzurichten. Benutzer sollten keine Apps zum Scannen von QR-Codes herunterladen, da die Kamera-App auf Android und iOS diese Funktion bereits integriert hat. Benutzer müssen den Linknamen vor dem Klicken auch sorgfältig prüfen, da Bösewichte Buchstaben vertauschen können, die vom ursprünglichen Namen abweichen.