- QR-Codes werden häufig für digitale Zahlungen genutzt, was sie zur Zielscheibe für Betrug macht. In Indien sind QR-Code-Betrugsfälle bei Einzelhändlern und Taxifahrern ein häufiges Problem. Selbst-authentifizierende, dual-modulierte QR-Codes (SDMQR) können helfen, Betrug zu verhindern, indem sie gefälschte Codes identifizieren. SDMQR-Codes benötigen keine spezielle App und verwenden elliptische Formen statt des üblichen Blockmusters. Die Implementierung eines zentralisierten Systems zur Registrierung von SDMQR-Codes ist eine Herausforderung, bei der Smartphone-Anbieter eine Schlüsselrolle spielen könnten.
Der lukrativste digitale Betrug ist derjenige, der die Bequemlichkeit ausnutzt. QR-Codes, die von der Kontaktfreigabe bis zur Zahlungsabwicklung eingesetzt werden, bieten eine ideale Angriffsfläche. In Indien, das das weltweit größte digitale Bezahlsystem betreibt, sind QR-Code-Betrugsfälle zu einem regelmäßigen Ärgernis geworden. Einzelhändler und Taxifahrer berichten oft, wie sie durch gefälschte QR-Codes oder Apps betrogen wurden, und auch beim Online-Shopping ist das nicht anders. Doch das Stehlen von ein paar Dollar ist nicht das einzige Risiko.
Der Diebstahl sensibler Daten, einschließlich Finanzinformationen, hat sogar bei Banken Alarm ausgelöst. „Sollten Sie einen QR-Code gescannt und dabei Ihre Zugangsdaten, wie beispielsweise Benutzername und Passwort, auf einer Website eingegeben haben, ändern Sie sofort Ihr Passwort“, warnte jüngst die US-Bundeshandelskommission. Auch die Schweizer Nationale Sicherheitsagentur hat vor Kriminellen gewarnt, die physische QR-Codes per Post versenden, um Passwörter zu stehlen – eine Methode, die als “Quishing” bekannt ist. Klar ist: die QR-Technologie über Bord zu werfen, ist keine Lösung, aber das Bewusstsein zu schärfen, durchaus eine Option.
Selbst-authentifizierende QR-Codes
Eine potenzielle Lösung bietet der selbst-authentifizierende, dual-modulierte QR-Code (SDMQR). Diese Technologie verhindert Betrug, indem das Risiko direkt beim Scannen des Codes erkannt wird, bevor die Nutzer auf eine gefälschte Website gelangen. Die QR-Codes sind selbst-authentifizierend und beinhalten eine verifizierte digitale Signatur des Verursachers. Dadurch lassen sie sich auch ohne Internetverbindung auf Echtheit überprüfen. Für ihre Nutzung ist weder eine besondere App noch ein Software-Update der existierenden QR-Scanner-Apps nötig. Diese sicheren QR-Codes können zudem an Designwünsche angepasst werden, ohne die Sicherheitsvorkehrungen zu beeinträchtigen.
Das bemerkenswerteste Merkmal ist, dass der durchschnittliche Nutzer keine Technikkenntnisse benötigt, um seine Interessen zu schützen. Unternehmen müssen lediglich die URL ihrer offiziellen Webseite registrieren und deren Signatur im QR-Code einbinden. Die SDMQR-Codes sehen anders aus als traditionelle QR-Codes; anstelle des üblichen Blockmusters nutzen sie elliptische Formen. Das Entwicklerteam hat bereits ein Patent beantragt und einen National Science Foundation I-Corps Zuschuss erhalten, um den Austausch traditioneller Barcodes durch SDMQR-Codes zu erforschen.
Technologische Vorreiterrolle
„SDMQR-Codes bieten einen proaktiven Schutz gegen Quishing, bevor der Link auch nur geöffnet wird”, heißt es in einer Forschungsarbeit. Im Kern handelt es sich um eine Anpassung, die das QR-System nicht grundlegend umkrempelt. Die Technik basiert auf zwei Komponenten: einer primären Nachricht (wie einer Unternehmens-URL) und einer dazugehörigen kryptografischen Signatur. Diese Signatur wird von dem Unternehmen erstellt, das im Besitz eines digitalen privaten Schlüssels ist. Ein spezieller Encoder integriert beide Nachrichten in den SDMQR-Code. Beim Scannen bricht ein Decoder die primäre und die sekundäre Nachricht auf, um sie zu verifizieren.
Die größte Herausforderung ist nicht die Technologie, sondern die Schaffung eines zentralisierten Systems, in dem Unternehmen ihre einzigartige SDMQR-Codes registrieren können. Smartphone-Betriebssystemanbieter wie Google und Apple könnten hier eine zentrale Rolle spielen, indem sie als zentrale Signatories fungieren. Mit ihren bereits bestehenden QR-Scanning-Frameworks könnten sie diese neue Technik unterstützen und die Sicherheit von Smartphone-Nutzern weltweit verbessern.
