Clean Links
Anleitungen

So schützen Sie sich vor Quishing: Stoppen Sie QR-Code-Phishing, bevor es beginnt

Ein schneller Scan. Ein winziges Quadrat auf einem Flyer. Ein dringender "Hier tippen"-Hinweis auf einem Strafzettel. Genau auf dieses sekundenkurze Vertrauen setzen Angreifer. Quishing - Phishing über QR-Codes - sieht harmlos aus, kann aber ein Gerät durch versteckte Weiterleitungen lenken, Nutzer auf überzeugend gefälschte Anmeldeseiten führen oder unbemerkt Tracking-Token übergeben, die Daten preisgeben.

Dieser Artikel erklärt, warum QR-Codes einen blinden Fleck erzeugen, warum der Hinweis "Überprüfe einfach die URL" oft nicht ausreicht und welche praktischen Schritte das Risiko verringern. Der letzte Abschnitt erklärt, wie Clean Links das wahre Ziel aufdeckt und Tracking entfernt, bevor eine Seite geöffnet wird.

Warum QR-Codes einen blinden Fleck erzeugen

QR-Codes ersparen das Tippen und entfernen gleichzeitig den Kontext.

  • Wenn ein Code gescannt wird, dekodiert das Telefon die Daten und zeigt eine URL oder eine Aktion an. Diese erste URL kann ein Dreh- und Angelpunkt sein - ein Kurzlink, eine Weiterleitungs-URL oder eine in der Cloud gehostete Seite, die sofort zu einem anderen Ziel weiterleitet.
  • Angreifer verwenden URL-Verkürzer und mehrstufige Weiterleitungen, um das endgültige Ziel zu verbergen. Was auf den ersten Blick sicher aussieht, kann nach einer oder mehreren Weiterleitungen zu einer Seite werden, die Anmeldedaten stiehlt.
  • QR-Codes können überall platziert werden: auf Postern, Speisekarten, Werbesendungen oder als Aufkleber über legitimen Codes. Diese physische Platzierung macht sie überzeugend und leicht zu missbrauchen.

Warum "Überprüfe die URL" oft nicht ausreicht

Jemandem zu sagen, er solle "einfach die URL überprüfen", setzt einige Dinge voraus, die in der Praxis nicht zutreffen:

  1. Die dekodierte URL kann selbst eine Weiterleitung sein, sodass eine Überprüfung nur den ersten Schritt anzeigt.
  2. Viele Anzeigeprogramme - einschließlich der Standard-Kamera-Apps - zeigen den dekodierten Link an, folgen aber nicht der vollständigen Weiterleitungskette oder enthüllen das endgültige Ziel, bis man darauf tippt.
  3. Selbst wenn die endgültige Domain legitim aussieht, können Tracking-Parameter und Affiliate-Token angehängt sein. Diese Parameter können eine Profilerstellung ermöglichen oder Teil von Betrugsabläufen sein, was es schwieriger macht zu erkennen, wohin ein Scan wirklich führt.

Kurz gesagt: Eine sichtbare URL ist nützlich, aber sie ist nicht die ganze Wahrheit.

Das obige Video zeigt den entscheidenden Unterschied: Apples Kamera-App zeigt nur die anfängliche Domain, während Clean Links allen Weiterleitungen folgt, um das wahre Endziel aufzudecken, bevor Sie tippen.

Praktische Schritte zur Risikominderung

  • Behandeln Sie unaufgeforderte QR-Codes wie unbekannte Links. Wenn etwas per Post, auf einem Aufkleber oder an einem unerwarteten Ort ankommt, vermeiden Sie das Scannen.
  • Wenn ein Unternehmen einen QR-Code bereitstellt (Speisekarte, Ticket, Zahlung), überprüfen Sie den Code beim Personal oder nutzen Sie stattdessen die offizielle App oder Website des Unternehmens.
  • Vermeiden Sie die Eingabe von Anmeldedaten auf einer Website, die Sie über einen QR-Code erreicht haben. Für wichtige Dienste geben Sie die bekannte offizielle Adresse manuell ein oder verwenden Sie ein vertrauenswürdiges Lesezeichen.
  • Bevorzugen Sie Scanner, die eine Vorschau des endgültigen Ziels und der Weiterleitungskette anzeigen, anstatt nur den ersten dekodierten Link.

Clean Links wurde entwickelt, um QR-Codes und Kurzlinks zu demaskieren. Es folgt der gesamten Weiterleitungskette und zeigt die wahre End-URL an, bevor die Seite geöffnet wird. Während die iPhone-Kamera den dekodierten Link anzeigt, deckt Clean Links Weiterleitungen auf und entfernt Tracking-Parameter, sodass die Zielseite und der Link, der sich öffnet, den Erwartungen entsprechen. Die gesamte Verarbeitung findet lokal auf dem Gerät statt, ohne externe Protokollierung.

Clean Links kann kostenlos aus dem App Store heruntergeladen werden.

Kurze Checkliste zum Selbstschutz

  • Halten Sie vor dem Tippen inne. Überprüfen Sie die Vorschau des Scanners und die endgültige Domain.
  • Geben Sie im Zweifelsfall keine Passwörter oder Zahlungsdaten ein.
  • Wenn ein Link eine dringende Zahlung oder die Eingabe von Anmeldedaten verlangt, überprüfen Sie die Anfrage außerhalb des Links.
  • Machen Sie einen sichereren Scanner zum Standard, wenn Sie regelmäßig QR-Codes an öffentlichen Orten scannen.

Quishing ist erfolgreich, weil es Routineverhalten ausnutzt. Ein kleines Maß an Vorsicht in Kombination mit dem richtigen Werkzeug unterbricht die Angriffskette. Für jeden, der auch nur gelegentlich QR-Codes scannt, beseitigt die Verwendung eines Scanners, der Links vorab anzeigt und bereinigt, einen Großteil des Risikos.

Ähnliche Beiträge

5.0 (22 Bewertungen)

Link-Bereiniger und QR-Code-Scanner, der die endgültige URL anzeigt, bevor du tippst

Wir folgen jeder versteckten Weiterleitung und bereinigen Tracking-Parameter bei jedem Schritt.

Versteckte Tracker sofort entfernen
Ziele von QR-Codes aufdecken
100 % Verarbeitung auf dem Gerät
Keine Werbung, kein Tracking, kein Blödsinn
Download on the App Store
Discord
XLinkedInReddit

Folge uns für App-Updates und Datenschutz-Tipps, um deine Online-Aktivitäten zu schützen.