Dienstag, 12.12.2017
StartseiteComputer und KommunikationComputerviren im Quadrat22.12.2012

Computerviren im Quadrat

Falsche QR-Codes bringen Schadsoftware aufs Smartphone

Sogenannte QR-Codes finden sich zum Beispiel in Info-Broschüren oder auf Plakaten. Scannt man das schwarz-weiß gefleckte Quadrat mit dem Smartphone, werden dem Nutzer weitere Informationen zu einem bestimmten Thema angezeigt. Eigentlich eine gute Idee. Nur: Jetzt machen sich auch IT-Kriminelle diese Codes zunutze.

IT-Journalist Peter Welchering im Gespräch mit Manfred Kloiber

Gefälschte QR-Codes auf Plakaten infizierten bereits zahlreiche Smartphones.  (Deutschlandradio: Wolfgang Noelke)
Gefälschte QR-Codes auf Plakaten infizierten bereits zahlreiche Smartphones. (Deutschlandradio: Wolfgang Noelke)
Mehr bei deutschlandradio.de

Links bei dradio.de:

Digitales Logbuch: QR forever
Digitales Logbuch: Irrgarten QR-Code

Manfred Kloiber: Erst tauchten sie in London auf, dann in Amsterdam, vor kurzem auch in Stuttgart und München: QR-Codes, mit denen sich der Smartphone-Nutzer Schadsoftware einfangen kann. Vor allen Dingen in der Vorweihnachtszeit haben verschiedene Banden von Online-Kriminellen mit dieser Methode so deutlich abkassiert. Was ist da passiert, Peter Welchering?

Peter Welchering: Die Geschichte ist relativ schnell erzählt: Online-Kriminelle haben auf Plakaten aufgeklebte QR-Codes einfach mit Stickern überklebt. Und auf diesen Stickern waren eben gefälschte QR-Codes aufgedruckt. Und die haben wiederum dann dafür gesorgt, diese gefälschten QR-Codes, dass Schadsoftware auf die Smartphones gebracht wurde. Bisher sind einige tausend Fälle in Westeuropa dokumentiert. Aber Sicherheitsexperten gehen davon aus, dass in Westeuropa bisher bis zu 600.000 Smartphones betroffen sind. Und deren Besitzer waren dann damit konfrontiert, dass sie plötzlich dafür bezahlen müssten, dass die Schadsoftware teure SMS an Premium-Services geschickt. Oder aber sie wurden abgefischt, also es fand eine Phishing-Attacke beim Online-Banking statt.

Kloiber: Aber das müssen Sie nochmal erklären – wie man sich durch diese falschen QR-Codes auf Plakaten infizieren kann.

Welchering: Da gibt es im Wesentlichen zwei Methoden. Eine Methode sieht vor, dass einfach ein Link mit einer Webadresse, einer URL eben auf eine präparierte Webseite in diesem QR-Code gespeichert ist. Und dem Link folgt dann natürlich die Scannersoftware auf dem Smartphone, lädt dann mit Browser die Schadsoftware von der präparierten Webseite der Online-Kriminellen herunter. Und damit hat man sich dann unter Umständen einen Computervirus eingefangen. Und die zweite Methode, die ergänzend dazu angewendet wird: Bei der handelt es sich um eine sogenannte Direkteinschleusung. Die Link-Methode arbeitet ja mit dem Download der Schadsoftware, aber ergänzend dazu kann auch direkter Schadcode, der im QR-Code mitgespeichert wurde, miteingeladen werden in das Smartphone, wenn er gescannt wird. Und der Schadcode erzeugt dann Beispielsweise einen Speicherüberlauf im Smartphone. Und das wiederum hat zwei Konsequenzen: Zum einen wird dann die Schadsoftware, die von der Webseite heruntergeladen wird, direkt auf bestimmte Webadressen geschickt. Die kann also direkt sozusagen durchgereicht werden. Und zum anderen können damit sogar Nachladefunktionen ermöglicht werden. Und das Ganze hängt damit zusammen, dass eben in so einem QR-Code insgesamt 23.848 Bits gespeichert werden können. Das entspricht so grob Pi mal Daumen gerechnet 2900 Byte. Und die jetzt gefundenen schädlichen QR-Codes enthalten eben diese Schadsoftware neben den Links mit einer Größe von ungefähr 2000 Byte – so groß ist also diese Schadsoftware. Und der Speicherüberlauf sorgt dann eben dafür, dass die heruntergeladenen Viren, die heruntergeladene Schadsoftware gleich an die richtige Speicheradresse gelangt und dort eben auch eingespeichert wird.

Kloiber: Der Speicherüberlauf ist ja quasi der Klassiker unter den Sicherheitslücken. Was richtet denn der per QR-Code auf dem Smartphone runtergeladene Schädling an?

Welchering: In einigen Fällen wurden eben teure SMS an Premium-Dienste versand. In der Regel kosten die so sechs Euro pro SMS. Und wenn dann 100, 200 versendet werden, kann das schon ganz schön ins Geld gehen. Dann gab es aber auch Software für Phishing-Attacken auf Smartphones. Und mit denen sind mobile Transaktionsnummern für das Online-Banking abgegriffen worden, so dass anschließend dann eben einfach Konten leergeräumt werden konnten. Oder in mehreren Fällen wurden eben 500, 600, 700 Euro abgebucht auf Konten, die man dann über die Beispielsweise Cayman-Inseln eben nicht weiter nachvollziehen konnte. Und drittens geht es ganz einfach um Datenspionage. Da werden dann Beispielsweise Adressbücher von den Smartphones ausgelesen und auf einen Zielrechner, auf einen Zielserver geschickt. Und im Londoner Regierungsviertel – das war ganz lustig zu hören – gibt es auch Software, die das Smartphone in eine Wanze verwandelt hat. Das heißt, diejenigen Regierungsmitarbeiter, die dann eben in eine Sitzung gegangen sind, haben dann das, was in dieser Sitzung verhandelt wurde, sozusagen gleich online weitergegeben. Man weiß aber auch nicht an welche Adresse. Die IP-Adresse konnte nicht ermittelt werden.

Kloiber: Wenn nicht vorher die Batterie aus dem Smartphone entfernt wurde, um die Sicherheit zu gewährleisten. Weiß man eigentlich schon etwas über die verursachten Schäden durch diese Attacke?

Welchering: Also beim SMS-Versand schätzt Europol insgesamt einen Schaden von ungefähr vier bis fünf Millionen Euro. Aber es haben sich natürlich auch nicht alle Opfer gemeldet. Bei den Phishing-Attacken schweigen sich die Banken erfahrungsgemäß aus. Das wollen sie nicht an der Öffentlichkeit haben. Sicherheitsexperten schätzen hier so um die 20 Millionen Euro. Aber da muss man natürlich auch immer vorsichtig sein. Denn gerade Antivirenhersteller, die hier mit Horrorzahlen häufig an den Markt gehen, wollen natürlich auch in erster Linie einfach ihre Sicherheitssoftware verkaufen und greifen deshalb natürlich zu sehr hohen Schadenssummen, damit der Bürger so richtig alarmiert wird. Und bei den Spionageangriffen – das kann man im Augenblick gar nicht abschätzen. Aber es gibt einige, vor allen Dingen mit sehr sensiblen Informationen arbeitende Unternehmen, die haben ihren Mitarbeitern tatsächlich schon verboten, weiterhin ihre eigenen Geräte, ihre eigenen Smartphones für betriebliche Zwecke zu nutzen und damit eben dann auch sozusagen wie beispielsweise ins betriebseigene Intranet oder ähnliches einzubuchen.

Kloiber: Wie kann man sich als Smartphone-Anwender vor solchen gefälschten QR-Codes schützen?

Welchering: Es gibt QR-Codes-Scanner, die prüfen erst die gescannte Bitfolge. Und erst danach wird dem Browser dann beispielsweise erlaubt, die Seite aufzurufen. Das ist eine relativ sichere Methode. Etwas unsicherer ist es, wenn man einfach prüft, ob wirklich der QR-Code, den man da vor sich sieht, auch der originale QR-Code ist oder ob ein Sticker darüber geklebt wurde. Das kann man ja teilweise einfach mit Zeigefinger und Daumen dann schon prüfen. Aber inzwischen sind eben auch originale, nicht-überklebte QR-Code-Schädlinge aufgetaucht. Und die kann man dann nicht erkennen – letztliche Sicherheit also nur mit einem QR-Code-Scanner, der erst einmal prüft.

Zum Themenportal "Risiko Internet"

Das könnte sie auch interessieren

Entdecken Sie den Deutschlandfunk