Quishing – Betrug per QR-Code
Aktuell häufen sich Fälle, in denen Cyberkriminelle ihre Opfer mit Hilfe von QR-Codes auf bösartige Seiten locken – zum Beispiel, um Zahlungsinformationen zu erbeuten. Wir zeigen dir, welche Formen dieser Phishing-Variante es gibt und wie du dich schützen kannst.
Ein Scan mit der Smartphone-Kamera und schon öffnet sich der Link. Quick Response (QR)-Codes sind nicht umsonst beliebt. Sie schaffen eine einfache Verbindung zwischen analoger und digitaler Welt und machen das Eintippen von Links überflüssig. Und sie werden von immer mehr Menschen eingesetzt – sei es, um eine Speisekarte zu öffnen, sich in ein W-LAN einzuloggen oder kontaktlos zu bezahlen.
Hacker machen sich die zunehmende Verbreitung und die Eigenschaften von QR-Codes zunutze. Sie überkleben zum Beispiel in öffentlichen Räumen legitime QR-Codes mit selbst erstellten QR-Codes, um Nutzer auf bösartige Webseiten zu locken und dadurch Daten zu erbeuten oder Schadsoftware zu verbreiten. Diese relativ neue Form des Phishings wird auch als Quishing bezeichnet – ein Kofferwort aus „QR“ und „Phishing“.
Wie Quishing funktioniert
Der grundlegende Ansatz von Quishing entspricht einem klassischen Phishing-Angriff. Die Nutzer werden über einen Link auf eine bösartige Webseite geleitet. In den meisten Fällen sind die Angreifer entweder darauf aus, die Nutzer über den Link zum Download von Malware zu verleiten oder persönliche Informationen wie Login-Daten und Kreditkarteninformationen zu erbeuten. Darüber hinaus gibt es Spezialformen wie das QRLJacking, das gezielt auf das Ausnutzen der Authentifizierungsmethode Quick Response Login (QRL) abzielt.
Ähnlich wie beim herkömmlichen Phishing ist die im QR-Code verlinkte bösartige Webseite in der Regel als legitime Seite getarnt. Dies kann zum Beispiel die Login-Seite für einen Online-Dienst oder die Seite für einen Bezahlvorgang sein. Sobald der Nutzer dort seine persönlichen Daten eingibt, landen diese in den Händen von Cyberkriminellen und können missbraucht werden.
Zielgerichtete Quishing-Szenarien – E-Mails und Briefe
Personalisierte Quishing-Angriffe richten sich per E-Mail oder konventionellem Brief direkt an bestimmte Menschen. Teilweise nutzen die Angreifer dabei auch die Möglichkeiten generativer künstlicher Intelligenz, um täuschend echte personalisierte Schreiben zu verfassen.
QR-Codes in E-Mails umgehen Virenscanner
Da das klassische Phishing per E-Mail zur den größten Cyberbedrohungen zählt, gibt es mittlerweile zahlreiche Verfahren, um gefährliche Links zu erkennen – zum Beispiel E-Mail-Filter, Malware-Detektoren und Anti-Viren-Software. Bei QR-Codes handelt es sich jedoch nicht um Links und Texte, sondern um Bilder. Sie werden von solchen Schutzsystemen in der Regel nicht analysiert. Cyberkriminelle bekommen damit eine Möglichkeit, Links zu bösartigen Seiten auch in gut geschützte Umgebungen einzuschleusen.
Briefe mit gefährlichen QR-Codes
Mittels Quishing kann die Bedrohung auch im heimischen Briefkasten lauern. Angreifer fälschen zum Beispiel Briefe von Banken und versuchen die Adressaten über QR-Codes auf dem bedruckten Papier zu geklonten Login-Seiten zu locken, um Zugangsdaten zu ergaunern und anschließend das Konto zu plündern.
Betrugsversuche im öffentlichen Raum
Da QR-Codes mittlerweile auch im öffentlichen Raum weit verbreitet sind, bieten sich Kriminellen zahlreiche Betrugsmöglichkeiten. Dazu gehören beispielsweise folgende Szenarien:
E-Auto-Ladesäulen
In mehreren Fällen haben Cyberkriminelle die QR-Codes an E-Ladesäulen überklebt. Der Link führt dann zu Fake-Webseiten, auf denen die eingegebenen Kontodaten abgegriffen werden.
Gefälschte Strafzettel
In einigen Städten bieten Ordnungsamt und Polizei auf Strafzetteln einen QR-Code an, mit denen ein Parkverstoß direkt beglichen werden kann. Kriminelle nutzen dies aus und verteilen gefälschte Strafzettel.
Veranstaltungsflyer
Auf Veranstaltungen wie Konferenzen können Flyer QR-Codes enthalten, die Zugang zu Veranstaltungsmaterialien oder exklusiven Inhalten versprechen. Mit Hilfe manipulierter Flyer lassen sich persönliche Daten abfangen.
W-LAN-Netzwerke
Für den Zugang zu öffentlichen W-LAN-Netzwerken sind QR-Codes ebenfalls weit verbreitet. Auch hier können Cyberkriminelle mit Phishing-Seiten Nutzerdaten ausspähen.
Welche Maßnahmen vor Quishing schützen
Generell ist mittlerweile im Umgang mit QR-Codes eine deutlich größere Vorsicht geboten als noch vor einigen Jahren. Neben einer grundsätzlichen Skepsis helfen die folgenden Schritte dabei, Betrugsversuchen vorzubeugen:
Automatisches Öffnen deaktivieren und URL prüfen
Betrugsversuche lassen sich häufig durch URLs erkennen, die eben nicht den bekannten URLs der legitimen Quelle entsprechen. Der QR-Code-Scanner sollte so konfiguriert sein, dass ein Link nicht automatisch geöffnet wird, sondern du ihn zunächst in der URL-Vorschau überprüfen kannst.
Absender im Zweifelsfall über offizielle Kanäle kontaktieren
Sollte der leiseste Verdacht bestehen, dass es sich um einen Quishing-Versuch handelt – vor allem im Fall von personalisierten Quishing-Angriffen – solltest du die jeweilige Institution über offizielle Kanäle kontaktieren und den Brief oder die E-Mail ignorieren.
Multi-Faktor-Authentifizierung nutzen
Um zu verhindern, dass abgegriffene Login-Daten wie Benutzername und Passwort missbraucht werden können, bietet die Multi-Faktor-Authentifizierung (MFA) eine wichtige zusätzliche Schutzbarriere.
Sicherheitsrichtlinien auf Smartphones ausweiten
Gerade für Unternehmen ist es wichtig, nicht nur Desktops und Notebooks abzusichern. Die Zunahme an betrügerischen QR Codes zeigt deutlich, dass unbedingt auch Firmentelefone abgesichert sein müssen.
Wir beantworten gerne alle Fragen.
Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier
Sie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenEvelyn Heinrich
Head of Account Management
oder ein Account Manager aus ihrem Team melden sich umgehend.