Scan

Tipps vom FBI: So tappen Sie nicht in die QR-Code-Falle

An Orten einche­cken, Test­ergeb­nisse abrufen, Zerti­fikate einlesen: Spätes­tens mit der Corona-Pandemie haben sich die Menschen welt­weit an QR-Codes gewöhnt. Das machen sich auch Krimi­nelle zunutze.
Von dpa /

Egal, ob digital oder auf Papier: Beim Scannen und Nutzen von QR-Codes darf das Vertrauen nicht gren­zenlos sein. Denn die quadra­tischen Pixel­codes können grund­sätz­lich auch mani­puliert werden oder bereits mit betrü­geri­schen Absichten erstellt worden sein, warnt die US-Straf­ver­fol­gungs­behörde FBI.

Cyber­kri­minelle versuchten etwa, ihre Opfer mit Hilfe von QR-Codes auf gefälschte Websites zu lotsen. Dort werden dann etwa Anmel­dedaten für Dienste und Konten sowie sensible Finanz­infor­mationen gestohlen oder Zahlungen, etwa Kryp­togeld-Trans­aktionen, umge­leitet. Beim Scannen und Nutzen von QR-Codes darf das Vertrauen nicht grenzenlos sein Beim Scannen und Nutzen von QR-Codes darf das Vertrauen nicht grenzenlos sein
Bild: Image licensed by Ingram Image Ebenso kann es sein, dass QR-Codes den Down­load und die Instal­lation von Schad­soft­ware anstoßen, über die die Täter Zugang zum Gerät und den Daten der Nutzer erhalten.

Damit man nicht in eine QR-Code-Falle tappt, gibt das FBI folgende Tipps:

  • Beim Scannen eines Codes prüfen, dass sich tatsäch­lich die erwar­tete Website öffnet und diese auch authen­tisch ist: Die Adresse muss richtig sein und darf nicht etwa Tipp­fehler oder falsche Buch­staben enthalten.
  • Geht es auf einer Website um die Eingabe von Log-in-Daten, persön­lichen Infor­mationen oder Daten, die Geld- und Finanz­geschäfte betreffen, sollte man beson­ders kritisch sein, wenn die Seite über einen QR-Code aufge­rufen wurde.
  • Möglichst keine Zahlungen auf Websites vornehmen, auf die man über einen QR-Code gelangt ist. Statt­dessen besser die jewei­lige (bekannte und vertraute) Inter­net­adresse von Hand eingeben, wenn dort etwas bezahlt werden soll.
  • Bei physi­schen, also gedruckten QR-Codes sollte man sich stets verge­wis­sern, dass nicht etwa ein ursprüng­licher Code mit einem anderen Code über­klebt worden ist.
  • Möglichst keine App-Down­loads und -Instal­lationen über QR-Codes starten, sondern Anwen­dungen aus den offi­ziellen Stores herun­ter­laden.
  • Keine Extra-Scanner-App instal­lieren: In den aller­meisten Fällen fungiert die Smart­phone-Kamera als Scanner oder im Browser ist ein Scanner inte­griert.
  • Eine Bekannte oder ein Bekannter hat offenbar einen QR-Code geschickt? Oder ein Unter­nehmen, bei dem man kürz­lich etwas gekauft hat, meldet sich per E-Mail wegen einer angeb­lich fehl­geschla­genen Zahlung und verlangt nun eine erneute Zahlung via QR-Code?
In beiden Fällen besser zum Hörer greifen und direkt nach­fragen, ob die jewei­lige Nach­richt echt ist. Achtung: Die Tele­fon­nummer eines Unter­neh­mens nicht aus der E-Mail über­nehmen, weil diese ja gefälscht sein könnte. Besser über eine Such­maschine auf die Seite des Unter­neh­mens gehen und eine Kontakt­nummer suchen.

Weitere Tipps zum Schutz gegen Tracking, Malware & Phis­hing lesen Sie in unserem Sicher­heits­rat­geber.

Mehr zum Thema Verbraucher