Der TB 2023 der KDSA Ost  (Tätigkeitsbericht) enthält im Abs.7.2 "QR-Codes – Bequemlichkeit mit Tücken?" allgemeine Informationen zu QR-Codes. Drei unterschiedliche Codes, statisch und dynamisch, sind dort abgebildet. An einem anschaulichen Beispiel soll die Funktionsweise eines dynamischen Codes etwas nähergebracht werden.

Wird der erste dynamische Code gescannt (TB 2023, Seite 90), so landet man auf der üblichen Kontaktseite der KDSA Ost. Ein seröser Code, hier ist alles in Ordnung.

Der QR-Code auf der nächsten Seite (TB 2023, Seite 91) soll ein praktisches Beispiel dafür darstellen, bei dem ein Code gegen einen anderen (ggfs. unseriösen) ausgetauscht bzw. überklebt wird (Quishing). Durch dieses Vorgehen wird der Benutzer auf eine präparierte Internetadresse geleitet. Werden dafür Kurzlinks verwendet, was eine übliche Variante ist, kann der Benutzer nicht sofort erkennen, wohin der endgültige Link (Endziel) führt.

An dem Beispiel ist gut erkennbar, welche Daten bereits das erste Ziel vom Aufrufenden (Benutzer-System) erhält und in einem weiteren Schritt welche zum Endziel weitergeleitet werden können. Das zeigt uns, dass derjenige der die „Macht“ über das Sprungsystem (Kurzlink) hat, das Endziel steuern kann und mit Metadaten vom Aufrufenden beschenkt wird. 

QRCode Phishing-Demo

 

Detailierte Informationen aud KDSA Ost:

Auf der Webseite der KDSA Ost kann es selbst ausprobiert werden. NAVLINK

Medien berichten:

QR-Code Warnung, Betrug mit Quishing (MDR) NAVLINK
Betrug mit QR-Codes (SWR Marktcheck) NAVLINK