Worum geht es?
Während der Pandemie erlebten QR-Codes ein großes Comeback, da sie eine einfache und kontaktlose Möglichkeit bieten, Informationen zu teilen. Olaf Classen ist ein bekennender Fan dieser Technologie, warnt jedoch vor den Sicherheitsrisiken, die damit einhergehen. Er klärt in dieser Episode über „Quishing” auf, eine Methode, bei der QR-Codes genutzt werden, um Benutzer auf Phishing-Webseiten zu lenken. Durch seine Aufklärungsarbeit trägt Olaf maßgeblich dazu bei, das Bewusstsein für diese Gefahr zu schärfen.
Transkript
Olaf Classen [00:00:00]:
Hier, Scannung des QR-Code ist nicht mitversichert bei vielen, weil es eine aktive Handlung ist, die zu dem Vorfall führt.
Thomas Barsch [00:00:13]:
Grüße. Ich darf euch recht herzlich begrüßen zu einer, na ja, sagen wir mal Breaking-News-Podcast-Folge von uns heute, von Olaf Klassen und von mir, Thomas Barsch. Wir haben uns einfach sehr kurzfristig entschieden, über das Thema Quishing zu reden. Und wer nicht weiß, was das ist und wer gerne mehr wissen möchte über die Gefahren, die dahinter stecken, der bleibt dran. Hallo Olaf.
Thomas Barsch [00:00:43]:
Hallo Thomas. Hallo liebe Zuhörer. Olaf Klassen aus Flensburg. Ich muss schon wieder mit schlechten Nachrichten rüberkommen. Eigentlich will ich das überhaupt nicht, aber wir haben zurzeit eine Betrugsmasche, die wirklich extrem ist und die halt einer breiten Zuhörerschaft wirklich Bedarf. Deswegen, Thomas, nochmal vielen Dank, dass du außer der Reihe nochmal eine Sendung einbauen konntest.
Olaf Classen [00:01:09]:
Ja, super. Freut mich auch. Ich habe das tatsächlich auch letztendlich durch dich auch in die Wahrnehmung bekommen. Und neulich ging ein Post auf LinkedIn rum. Das war ein, ich würde jetzt mal so sagen, in der Wahrnehmung ein ganz normales Schreiben von der Commerzbank. Und da war so ein QR-Code drauf. Und da sollte man dann was scannen. Und ich mache jetzt einfach mal meine Sicht.
Olaf Classen [00:01:33]:
QR-Codes sind ja seit der Pandemie irgendwie hip geworden. Also es gab so wirklich so ein, wie sagt man, Comeback des QR-Codes. Weil kontaktlos, nichts eingeben und so weiter. Also wirklich eine tolle Sache. Und ich muss gestehen, ich bin tatsächlich auch ein Fan davon. Also ich finde es sehr, sehr einfach und das macht es vielleicht auch noch so gefährlich, weil es so einfach ist, weil es eine Verbreitung gefunden hat und was aber jetzt die Öffentlichkeit, was jeder wissen sollte, was dahinter steckt Und da wird der Olaf uns gleich ein bisschen was dazu erzählen. Also wie funktioniert Quishing und warum ist es so gefährlich? Also Quishing ist die Abkürzung für Quick Response Codes und Pishing ist also so ein Kunstwort und das sagt es eigentlich schon aus. Also es geht dann im weitesten Sinne
Thomas Barsch [00:02:22]:
Pishing, aber ich finde auf eine noch gemeinere Art, als es bisher gemacht wurde. Also Olaf, wie funktioniert Quishing? Wie funktioniert es? Du hast ja normalerweise im QR-Code eine Webseite hinterlegt. Das heißt, du kommst relativ einfach auf eine Webseite. Einmal kurz für Handy gezückt und zack bist du da, wo du halt hin willst oder möchtest. Aber jetzt kommt das Gemeine, wenn du halt zu Hause am PC sitzt und irgendeine Seite öffnest, dann hast du halt die Möglichkeit, das wunderbar zu überprüfen. Ich bin über diese ganze Problematik vor drei, vier Monaten eigentlich gestolpert. Ein Beitrag aus Dänemark, wo halt berichtet wurde, dass an Ladesäulen für Elektrofahrzeuge der QR-Code einfach überklebt wurde. Die Leute sind hingefahren, haben den QR-Code gescannt, haben ihre Angaben gemacht, haben das Kabel ins Auto gesteckt und haben überhaupt nicht gemerkt, dass sie gar nicht auf der Seite angekommen sind, die letztendlich vorgesehen ist dafür.
Thomas Barsch [00:03:25]:
Sie beziehen ihren Strom, aber parallel sind sie auf einer bösartigen Webseite gelandet, die es genau versteht, den Kunden darüber umklaren zu lassen, dass er auf eine andere Webseite geleitet worden ist. Das Schlimme an der ganzen Sache ist, ich habe mir ja mal so ein bisschen die Historie angeschaut, das ist gar nicht neu. Bereits vor zwei oder zweieinhalb Jahren wurde in den Staaten ein Schreiben der Firma Wells Fargo, die auch im Finanzbereich unterwegs ist, verschickt mit dem entsprechenden QR-Code. Dieses Schreiben war natürlich nicht von Wells Fargo, sondern war hervorragend kopiert worden. Und da müssen wir einfach den Punkt aufsetzen. Das, was heute die Kriminellen machen, ist extrem gut. Da ist kein Schreibfehler mehr, da ist kein Komma-Fehler. Das ist wirklich extrem gut, was heute gerade brieflich unterwegs ist.
Thomas Barsch [00:04:15]:
Genau denselben Bereich haben wir halt auch im Phishing bezüglich der E-Mails. Aber Quishing finde ich noch mal ein bisschen problematischer. Ich scanne unterwegs einen QR-Code, sei es am Parkautomaten, sei es an der Ladesäule für Elektrostrom, sei es hier oder da. Ich habe doch gar nicht die Möglichkeit oder fast nicht die Möglichkeit auf dem Handy zu überprüfen, ob die URL wirklich die URL ist, die ich erreichen möchte. Weil spätestens nach dem 25. Wort höre ich auf, das Ganze zu überprüfen. Aber es kann auch das 26., 27., 28. Wort sein, das dich letztendlich auf eine bösartige Homepage umleitet.
Thomas Barsch [00:04:56]:
Und ich stelle es mir gerade vor, du stehst an der Ladesäule, scannst im strömenden Regen und dann sollst du die URL überprüfen, ob du wirklich auf der richtigen Homepage bist mit einem kleinen Smartphone. Das finde ich machte halt kompliziert.
Olaf Classen [00:05:11]:
Es ist auch, ich sage jetzt mal, wenn ich jetzt ehrlich bin, Natürlich guckt man hin oder so, jetzt oute ich mich vielleicht, aber ich habe noch nie die URL gecheckt auf meinem Handy.
Thomas Barsch [00:05:20]:
Ja, genau.
Olaf Classen [00:05:21]:
Das ist einfach so ein Rhythmus, man scannt es, bestätigt es, fertig und in gutem Glauben denkt man, es passiert nichts, sondern die gewünschte Leistung wird erbracht. Und ja, seitdem ich ja dich kenne und seitdem wir hier in diesem Dunstkreis tatsächlich ein bisschen genauer hingucken, bin ich jetzt auch kritisch geworden, also wirklich die QR-Codes zu scannen, weil das zieht sich ja durch. Also man muss eigentlich jetzt meiner Meinung nach bei jedem QR-Code sehr, sehr vorsichtig sein. Die können ja den QR-Code irgendwie einschleusen, sage ich jetzt mal. Dass vielleicht sogar seriöse Unternehmen auf einmal einen QR-Code auf dem Tankzettel haben, der trotzdem Quishing ist. Also das ist, glaube ich, so gefährlich. Also man muss da einfach die Naivität ablegen. Wir werden ja jetzt gleich nochmal darüber sprechen, auch über ein paar ganz konkrete Fälle, die so die letzten paar Wochen passiert sind.
Olaf Classen [00:06:08]:
Und das Gefährliche ist, es geht darum, die klauen persönliche Daten, die klauen Kreditkartendaten. Man gibt ja dann auch diese Checknummer ein von der Rückseite. Unter Umständen wird auch noch ein Mailware auf dem Handy oder so installiert. Also irgendein Trojaner. Also das ist schon eine Dimension. Und Ich sage noch zwei Sätze, dann bist du dran. Dann kannst du mal was zu den Beispielen sagen. Also das Krasseste fand ich, dass die wirklich auf Brint gehen.
Olaf Classen [00:06:40]:
Das heißt Briefpost mit einem gefälschten QR-Code. Und da hatte ja die Sparkasse ein Problem und die Commerzbank hatte ein Problem. Vielleicht sagst du noch mal ein bisschen was zu den aktuellen Fällen, dass die Leute auch merken, weil was die machen ist ja, die verbinden ja die analoge Oldschool-Welt mit der neuen grausamen Cyberkriminalität und das finde ich schon ziemlich krass.
Thomas Barsch [00:07:03]:
Das ist auch krass. Du hast eben die Beispiele, Briefe von der Commerzbank oder der Sparkasse genannt. Ich hatte gestern so einen Werbebrief von so einem Lieferdienst bezüglich Speisen in ganz normalen Postkasten. Von wegen bestellen Sie jetzt die ersten beiden Bestellungen minus 20 Euro. Scannen Sie einfach den QR-Code und Sie sind sofort da, wo Sie eigentlich hinwollen. Ich denke mal, dieses Schreiben ist echt, aber ich würde es in Zukunft einfach nicht mehr machen, weil für mich das Risiko, eine Scanung eines QR-Codes von Firmen, die ich nicht kenne, bei mir nicht mehr stattfinden wird. Bevor ich ein Schreiben der Sparkasse auf der Form irgendwie beantworte, rufe ich meinen Bankberater an. Wobei der mir gesagt hat, die Sparkassen verschicken gar keine Briefe mehr.
Thomas Barsch [00:07:50]:
Und vor allen Dingen würden sie nie und nimmer einen Brief drauf schicken mit einem QR-Code drauf, wo du dich einloggen kannst. Mag vielleicht von Sparkasse zu Sparkasse-Regional ein bisschen unterschiedlich sein, ist aber so.
Olaf Classen [00:08:01]:
Ja gut, aber so einfach kann man es sich ja nicht machen. Da steht ja Sparkassen-Logo drauf. Ich will jetzt niemandem so nahe treten, aber da müssten wir jetzt eigentlich reagieren und eine Aufklärungskampagne machen. Weil wie du sagst, das von Sparkasse zu Sparkasse unterschiedlich, aber jetzt nichts tun und seine Kunden quasi da stehen lassen, denke ich, ist auch keine Art, weil ich denke, das schwappt ja dann über. Das hat natürlich auch eine sofort negative Auswirkung aufs Image, auch wenn die ja nichts dafür können. Sie haben auch nichts dagegen getan.
Thomas Barsch [00:08:30]:
Es ist aber nicht nur das Logo drauf der Sparkasse, sondern es ist halt auch der offizielle Name von dem Aufsichtsratposten. Es werden alle Angaben komplett richtig dargestellt. Du kannst diese Briefe nicht unterscheiden, ob sie wirklich von deiner Sparkasse kommen oder ob es gefälscht worden ist. Du kannst es vielleicht noch am Briefumschlag vielleicht erkennen, wer das Porto bezahlt hat. Das ist vielleicht noch eine Möglichkeit. Aber es geht ja weiter. In Berlin läuft zurzeit eine Masche. Da werden Tickets verteilt an Autofahrer.
Thomas Barsch [00:09:03]:
Die kriegen einen netten Zettel an die Windschutzscheibe, unter den Scheibenwischer geklemmt, sie haben falsch geparkt, bitte bezahlen sie 20 Euro. Scannen sie den QR-Code und gut ist. In Frankreich, zur Zeit der Olympiade, sind unendlich viele Betrugsmaschen genau mit diesem QR-Code gemacht worden. Meine Frau hat bei einem großen Discounter so eine kleine Wetterstation gekauft. Da hast du auch ein Garantieheft drin. Und wenn sie weitere Informationen haben möchten, scannen sie einfach den QR-Code und laden sie sich die Anweisung oder die Handlungsanweisung per PDF runter. Weißt du, welche Firma in China wirklich dahinter steckt? Und das Schlimme ist, ich hole ja nicht nur Daten raus, ich bin in der Lage als Krimineller das komplette Telefon zu übernehmen. Und vielleicht in dem Zusammenhang eine kleine Warnung.
Thomas Barsch [00:09:57]:
Alle die meinen, dass sie mit ihrem Apple-Tablet oder iPod oder iPhone sicher sind, vergesst es Leute. Auch ein Apple-Gerät ist nicht sicher. Es ist vielleicht sogar noch unsicherer, weil die meisten meinen, dass sie sicher sind. Ich mit meinem Android-Telefon bin von vornherein vielleicht vorsichtiger als ein Apple-Benutzer.
Olaf Classen [00:10:17]:
Ja gut, was halt da spannend ist, ist ja auch bekannt, dass die Apple User ja Lifestyle und so weiter und dass die auch tatsächlich gewohnt sind, Sachen zu bezahlen. Also es ist ja viel, viel höhere Kaufbereitschaft als bei der Android-Gemeinde. Deswegen ist es natürlich eine spannende Zielgruppe, was das Ausgabeverhalten angeht.
Thomas Barsch [00:10:37]:
Ich würde vielleicht sogar in einigen Fällen sagen, sind wohlhabender als der Rest. Wenn du gerade auch Ferntelefone, und da sehe ich halt ein Riesenproblem. Beim Privattelefon ist es schon problematisch. Nur Hinweis dazu, falls jemand eine private Cyberversicherung abgeschlossen hat. Dieses Thema ist meistens nicht mitversichert. Phishing-Attacken sind versichert. Hier, Scannung des QR-Codes, ist nicht mitversichert bei vielen, weil es eine aktive Handlung ist, die zu dem Vorfall führt. Klar, wenn ich auf die Mail drücke, ist es auch eine Arbeitsinhaltsversicherung, Nur als Info.
Thomas Barsch [00:11:16]:
Aber das Thema ist vor allen Dingen, finde ich, auch für Firmen relevant. Wie viele Außendienstmitarbeiter scannen ganz schnell mal irgendwo den Ladestrom? Scannen halt den Parkautomaten ab. Und da sind Daten drauf, die äußerst sensibel sind auf diesem Telefon. Die Kontaktliste, wo du plötzlich von 500 Mitarbeitern vielleicht E-Mail-Adresse, Namen und alles, was dazugehört, bekommst. Vielleicht auch einen direkten Zugang zum Firmennetzwerk bekommst. Was mich wirklich ärgert ist, dass die Industrie bis heute keine Möglichkeiten geschaffen hat, oder sie sind mir auf jeden Fall nicht bekannt, da Sicherung einzubauen.
Olaf Classen [00:11:53]:
Ich war jetzt ein paar Tage auf Messe, hab dann auch mit so ein paar Leuten diskutiert, dass es wie so eine Art Zertifizierungsstelle gibt für QR-Codes, wo dann irgendein Zertifikat hinterlegt ist und wo man dann sicher sein kann. Und dann kam sofort der Einwand, naja QR-Code ist ja sowas, das wird meistens dann auch spontan noch erzeugt, so ein Tag bevor man auf Messe geht, da macht man dann QR-Code mit dem Link und so. Mit Zertifizierung würde alles viel zu lange dauern, aber das sage ich mir gut, die müssen ein bisschen besser planen. Und der zweite Spruch ist, Sicherheit ist immer unbequem. Also das muss man einfach ganz klar sagen. Wenn man sich sicher verhält, dann ist es unbequem. Ich habe mal so ein paar Sachen rausgesucht, wie man sich verschützen kann und ich sage es jetzt einfach mal QR-Codes aus unbekannten Quellen nicht scannen. Okay, wo machst du die Grenze? Das zweite ist Ziel-URL vor dem Öffnen überprüfen.
Olaf Classen [00:12:44]:
Dann brauche ich ja eigentlich keinen QR-Code, Weil wenn ich den abtippsel, brauche ich keinen QR-Code. Und das Dritte, keine persönlichen Daten nach dem Scan eines QR-Codes eingeben. Jetzt kommt das Unbequeme, zwei Faktoren-Authentifizierung aktivieren, einen vertrauenswürdigen QR-Code-Scanner nutzen, was immer das auch heißt. Ich weiß nicht, ob der das hinkriegt. Und jetzt kommt der Hauptpunkt, was du angesprochen hast. Das finde ich extrem wichtig. Mitarbeiter in Unternehmen schulen und sensibilisieren. Und ich würde sogar noch ein bisschen weiter ausdehnen.
Olaf Classen [00:13:15]:
Also ich würde es natürlich auf alle Menschen ausdehnen, vielleicht auch auf Kinder und Jugendliche. Also das betrifft im Grunde genommen jeden. Also jeder, der ein Handy hatte, sollte quasi auch an dem Gerät geschult werden, wenn man so will. Und irgendwie werden die Schulungsthemen immer mehr und immer bunt und immer vielfältiger.
Thomas Barsch [00:13:35]:
Du hast es eben gerade gesagt, du warst zwei, drei Tage unterwegs auf Messen und Veranstaltungen. Wenn ich mich richtig erinnere, Itza letztes Jahr, du gehst an den Stand, das erste steht vorne ein Schild, scannen Sie den QR-Code. Wenn ich dieses Schild einfach austausche, glaube ich, würde auch der ein oder andere auf dem Messestand gar nicht mitbekommen, dass das Schild plötzlich nicht mehr mein Schild ist, sondern das Schild von irgendwelchen Cyberkriminellen. Aber du bist der Ansicht, das ist eine renommierte Firma, also scanne ich den QR-Code. Insofern aus bekannten Quellen, das würde ich einfach als problematisch ansehen. Wenn ich in den Bereich der Ladesäule gehe, dann würde ich wirklich zurzeit wirklich nur Ladesäule mir aussuchen, wo ich ein Display habe, wo der QR-Code hinter dem Display ist. Da kann ich mir nicht sicher sein, dass es nicht überklebt ist. Vielleicht nur als kleine Maßnahme.
Olaf Classen [00:14:25]:
Das ist ein guter Hinweis, weil da ist ja die Komplexität höher. Sie müssten ja quasi ins System rein und da den QR-Code austauschen, also auf dem Display. Das, glaube ich, ist auch nochmal ein guter Warnhinweis. Also QR-Code von Displays kann man ein bisschen vertrauenswürdig einstufen, als jetzt wirklich alles, was gedroht oder aufgeklebt wurde. Du hast, glaube ich, auch mal so ein Beispiel gepostet. Da musste man so genau hinschauen, dass man es gesehen hat, dass da eine Folie drüber war. Ja. Also das war so perfekt gemacht.
Olaf Classen [00:14:56]:
Total irre. Also eine ganz, ganz dünne Folie, die fast gar nicht aufgetragen hat und überklebt. Wahnsinn.
Thomas Barsch [00:15:01]:
Aber du fährst zum Flughafen, du hast einen Parkautomaten da, du bist schon viel zu spät unterwegs. Was machst du? Du zückst dein Handy, zack, fertig. Hier am Flensburger Bahnhof genau das gleiche. Parkautomat, wenn Sie genau oder minutengenau abgerechnet haben möchten, scannen Sie bitte den QR-Code. Alternative wäre halt Geld einzuschmeißen. Und Stand heute, ich würde wahrscheinlich die 50 Cent opfern oder zusätzlich opfern und würde Geld einschmeißen. Dann habe ich zwar keine minutengenaue Abrechnung, aber ich bin vielleicht relativ sicher oder ich bin sicher, dass nichts passiert ist.
Olaf Classen [00:15:36]:
Ich bin vor allen Dingen sicher, dass mein Auto noch da steht, wenn ich zurückkomme. Ja, genau. Okay Olaf, ich glaube wir haben jetzt genug auf die Pauke gehauen. Jetzt kommst du noch.
Thomas Barsch [00:15:45]:
Nur ganz ganz kurz, ganz kurz. Ich möchte wirklich jeden bitten und auch das Thema wirklich in die Betriebe reintragen, dass diese Schulung, was das Thema angeht, in die Öffentlichkeit kommt. Es wird meiner Ansicht nach immer noch so nebenbei behandelt. Ich habe es ja auf LinkedIn auch gemerkt. Der Informationsbedarf in diesem Thema, und das sind zum Teil ja Fachleute, das sind IT-Leiter, das ist der Admin, der war gewaltig, weil sich mit dem Thema, obwohl es schon mittlerweile 2, 2, 5 Jahre alt ist, keiner beschäftigt hat. Insofern da der Aufruf, schult eure Mitarbeiter, gebt den Leuten halt irgendwas an die Hand, damit sie ein bisschen vorsichtiger agieren. Das ist einfach der Aufruf nochmal an die Gemeinde hier.
Olaf Classen [00:16:30]:
Olaf, vielen, vielen herzlichen Dank. Ich denke, wir bleiben auf jeden Fall auch an diesem Thema weiter dran, sowie auch an anderen Security, Cybersecurity Themen. Schön, dass du da warst. Ich wünsche dir eine gute Zeit und Leute, hört dem Olaf zu und vor allen Dingen macht das, was ihr gesagt habt. Schön, dass du da warst. Ich wünsche dir was. Tschüss.
Thomas Barsch [00:16:49]:
Danke. Okay, ciao.