Risiken von QR-Code-Phishing im Alltag
Studie zeigt, dass Studis auf dem Campus besser auf QR-Code-Betrügereien aufpassen sollten.
― 6 min Lesedauer
Inhaltsverzeichnis
QR-Codes, oder Quick Response Codes, wurden vor der COVID-19-Pandemie nicht wirklich viel genutzt. Aber als die Leute sie während der Pandemie häufiger verwendeten, wurden sie ein Ziel für Hacker. Diese Hacker erstellen falsche QR-Codes, die Nutzer auf schädliche Webseiten leiten, wenn sie gescannt werden. Um zu überprüfen, ob QR-Codes für Phishing effektiv sind, haben wir eine Studie auf einem Forschungscampus durchgeführt.
Studienaufbau
Wir haben zwei Arten von Postern mit QR-Codes erstellt und sie in viel frequentierten Bereichen des Campus aufgehängt. Das erste Poster war einfach, während das zweite professionell gestaltet war und die Chance auf einen Gutschein versprach. Nach der Studie haben wir die Teilnehmer nach ihren Erfahrungen mit QR-Codes und Phishing gefragt, um die Ergebnisse besser zu verstehen.
Sowohl die Studie als auch die Umfrage haben gezeigt, dass Leute eher einen gut gestalteten QR-Code scannen, besonders wenn er etwas Verlockendes wie einen Gutschein verspricht. Ausserdem haben die Ergebnisse gezeigt, dass weniger technikaffine Personen ein grösseres Risiko darstellen, weil sie die Gefahren beim Scannen dieser Codes möglicherweise nicht verstehen.
Was sind QR-Codes?
QR-Codes sind zweidimensionale Barcodes, die verwendet werden, um Informationen zu speichern. Sie wurden 1994 erfunden, um einem Unternehmen bei der besseren Verwaltung seiner Produkte zu helfen. Seitdem hat ihre Nutzung in verschiedenen Bereichen, einschliesslich Marketing und Bildung, zugenommen. QR-Codes sind einfach zu verwenden, da fast alle Smartphones einen eingebauten Scanner haben. Während der Pandemie wurden QR-Codes populär für Aufgaben wie die Buchung von COVID-19-Tests und das Einchecken in Restaurants.
Obwohl QR-Codes viele Vorteile bieten, bringen sie auch erhebliche Sicherheitsrisiken mit sich. Weil die Informationen, die sie enthalten, geändert werden können, können Hacker sie mit schädlichen Webseiten verknüpfen. Diese falschen Codes können in öffentlichen Bereichen, wie Universitäten, platziert werden, um Leute zum Scannen zu verleiten. Berichte von Sicherheitsexperten zeigen, dass QR-Code-Phishing mittlerweile ein häufiges Problem ist, bei dem versucht wird, persönliche Informationen oder Geld zu stehlen.
Bedeutung der Studie
Um zu sehen, ob QR-Code-Phishing effektiv ist und wie es im Vergleich zu älteren Studien abschneidet, haben wir eine Kampagne an unserem Forschungscampus eingerichtet. Wir haben diesen Ort gewählt, weil er von vielen jungen, technikaffinen Leuten besucht wird. Wir haben zwei Plakatdesigns erstellt und sie an zehn verschiedenen Stellen aufgehängt, wo normalerweise Flyer zu finden sind.
Jedes Poster warb für eine Umfrage über Inflation und enthielt einen QR-Code, der zu einer gefälschten Webseite führte. Ziel war es herauszufinden, welches Poster mehr Scans anzieht. Wir haben sicherstellt, dass wir die Erlaubnis hatten, die Poster aufzuhängen, und sie wetterfest gemacht.
QR-Code-Design und Ethik
Das erste Posterdesign war einfach, während das zweite professioneller gestaltet war mit einem blauen Farbschema, das oft als vertrauenswürdiger angesehen wird. Dieses Poster erwähnte auch einen Amazon-Gutschein als Teil des Angebots. Wir haben die Poster zwei Wochen lang ausgestellt. Als jemand den QR-Code scannte, wurde er auf unsere Webseite geleitet, wo er mehr über die Studie erfahren konnte.
Datensammlung und Ethik
Während die Teilnehmer den QR-Code scannen, haben wir verschiedene Details aufgezeichnet, wie wann der Code gescannt wurde und ob sie sich entschieden, an der Umfrage teilzunehmen. Wir haben darauf geachtet, dass die Studie ethischen Richtlinien folgte und dass die Teilnehmer verstanden, worum es in der Studie ging.
Um mehr Informationen zu sammeln, haben wir auch eine Umfrage erstellt, die die Teilnehmer nach ihren Gründen für das Scannen von QR-Codes und ihren Erfahrungen mit Phishing fragte. Wir haben den Link zur Umfrage mit Freunden und Kollegen geteilt, um Teilnehmer mit ähnlichen Hintergründen wie die auf dem Campus zu rekrutieren.
Ergebnisse der QR-Code-Studie
Wir hatten insgesamt 125 Teilnehmer für die Umfrage. Nach dem Herausfiltern von unzuverlässigen Antworten hatten wir 123 Teilnehmer. Das durchschnittliche Alter lag bei etwa 30 Jahren, mit einer Mischung aus Studenten und Leuten, die ihr Studium abgeschlossen hatten.
Bezüglich der Präferenz für Posters mochten etwas weniger als die Hälfte der Befragten das professionell gestaltete Poster, während einige Leute sagten, sie würden beides nicht scannen. Die Gründe, die die Leute für ihre Präferenzen angaben, waren unterschiedlich. Viele fanden das professionelle Design und die Chance, einen Gutschein zu gewinnen, ansprechend.
Als wir die Teilnehmer nach ihren Interaktionen mit QR-Codes fragten, erfuhren wir, dass die meisten Leute sie zur Bequemlichkeit verwendeten, zum Beispiel um sich mit Wi-Fi zu verbinden oder COVID-19-Testresultate zu überprüfen.
Erfahrungen mit Phishing
Wir haben die Teilnehmer auch gefragt, ob sie vor der Studie von QR-Code-Phishing wussten. Etwa die Hälfte sagte ja, während die andere Hälfte das nicht wusste. Die meisten Befragten berichteten, dass sie selten Erfahrungen mit Phishing gemacht hatten, einige erwähnten Phishing-Versuche via E-Mail und soziale Medien. Während viele Teilnehmer von verschiedenen Möglichkeiten gehört hatten, wie man sich vor Phishing-Betrügereien schützen kann, gab es immer noch eine beträchtliche Anzahl, die mehr über Sicherheitsmassnahmen lernen wollte.
Wichtige Erkenntnisse
Die Studie hat gezeigt, dass für eine Phishing-Kampagne mit QR-Codes das Design und die Botschaft wichtig sind. Zum Beispiel schien das professionelle Aussehen des zweiten Posters mehr Interesse zu wecken, was zu mehr Scans führte. Das Angebot eines Gutscheins spielte ebenfalls eine bedeutende Rolle.
Obwohl unsere Studie an einem einzigen Standort stattgefunden hat, deuten die Ergebnisse darauf hin, dass sogar technikaffine Personen immer noch in Gefahr sind, wenn sie nicht vorsichtig sind. Nur ein kleiner Prozentsatz sagte, dass sie keinen QR-Code scannen würden.
Fazit
QR-Codes sind ein Teil des täglichen Lebens geworden, besonders während der Pandemie. Während sie Bequemlichkeit bieten, bringen sie auch Sicherheitsrisiken mit sich. Unsere Studie untersuchte das Potenzial für QR-Code-Phishing auf einem Hochschulcampus und stellte fest, dass die Leute im Allgemeinen vorsichtig sind, aber trotzdem Opfer von Betrügereien werden können.
Für die Zukunft ist klar, dass mehr Bewusstsein und Bildung über QR-Code-Phishing notwendig sind. Wir fanden heraus, dass Designelemente und verlockende Angebote das Benutzerverhalten erheblich beeinflussen können, was es wichtig macht, diese Faktoren in die Sicherheitsschulungen einzubeziehen.
In zukünftigen Forschungsvorhaben möchten wir ähnliche Studien an verschiedenen Standorten durchführen, um ein breiteres Verständnis dafür zu bekommen, wie Menschen auf QR-Codes und Phishing-Versuche reagieren. Darüber hinaus wäre es wertvoll, unsere Ergebnisse mit traditionellen Phishing-Methoden, wie E-Mail-Betrügereien, zu vergleichen, um das allgemeine Bewusstsein und Risiko zu bewerten.
Titel: Hooked: A Real-World Study on QR Code Phishing
Zusammenfassung: The usage of quick response (QR) codes was limited in the pre-era of the COVID-19 pandemic. Due to the widespread and frequent application since then, this opened up an attractive phishing opportunity for malicious actors. They trick users into scanning the codes and redirecting them to malicious websites. In order to explore whether phishing with QR codes is another successful attack vector, we conducted a real-world phishing campaign with two different QR code variants at a research campus. The first version was rather plain, whereas the second version was more professionally designed and included the possibility to win a voucher. After the study was completed, a qualitative survey on phishing and QR codes was conducted to verify the results of the phishing campaign. Both, the phishing campaign and the survey, show that a professional design receives more attention. They also illustrate that QR codes are used more frequently by curious users because of their easy functionality. Although the results confirm that technical-savvy users are more aware of the risks, they also underpin the malicious potential for non-technical-savvy users and suggest further work regarding countermeasures.
Autoren: Marvin Geisler, Daniela Pöhn
Letzte Aktualisierung: 2024-07-23 00:00:00
Sprache: English
Quell-URL: https://arxiv.org/abs/2407.16230
Quell-PDF: https://arxiv.org/pdf/2407.16230
Lizenz: https://creativecommons.org/licenses/by/4.0/
Änderungen: Diese Zusammenfassung wurde mit Unterstützung von AI erstellt und kann Ungenauigkeiten enthalten. Genaue Informationen entnehmen Sie bitte den hier verlinkten Originaldokumenten.
Vielen Dank an arxiv für die Nutzung seiner Open-Access-Interoperabilität.