Quishing: Die Gefahr steckt im QR-Code 

29.04.2024 | Sie sind einfach überall: Angefangen bei der Speisekarte des Lieblingsitalieners an der Ecke über die Anmeldung zu Gewinnspielen bis hin zum mobilen Bezahlen – QR-Codes sind überaus praktisch und aus unserem Alltag nicht mehr wegzudenken. Sie haben sich als einfache und kompakte Methode bewährt, um Nutzer direkt auf Webseiten zu führen, ohne erst umständlich eine URL in den Browser einzutippen. 

Allerdings haben auch Cyberkriminelle die Vorteile von QR-Codes für sich entdeckt und nutzen sie für ihre betrügerischen Absichten aus. Das Risiko von Quishing-Angriffen steigt zunehmend. 

Denn die harmlos aussehenden Quadrate, die unkompliziert und schnell Zugang zu komplexen Informationen ermöglichen (QR steht für "Quick Response", also "schnelle Antwort"), lassen sich hervorragend für bösartige Absichten missbrauchen. Quishing, eine Wortkombination aus "QR-Code" und "Phishing", bezeichnet eine noch recht neue Phishing-Methode, bei der Cyberkriminelle QR-Codes verwenden, um Nutzer zu täuschen und sie dazu zu bringen, sensible Informationen preiszugeben oder schädliche Websites zu besuchen. 

Aktuell warnt das Verbraucherschutzportal Watchlist Internet Nutzer des Online-Marktplatzes Vinted vor betrügerischen QR-Codes. Hier kontaktieren die Angreifer gezielt neue Verkäuferinnen und Verkäufer, die mit den Abläufen der Plattform noch nicht vertraut sind, und lotsen sie mittels QR-Code auf eine gefälschte Zahlungsseite.

Was ist Quishing? 

Quishing bezeichnet eine Phishing-Technik, bei der Cyberkriminelle QR-Codes in E-Mails oder andere Medien einbetten, um ihre Opfer dazu zu bringen, diese mit ihrem Smartphone zu scannen. Die QR-Codes führen dann zu einer gefälschten Website, die darauf abzielt, sensible Informationen zu sammeln oder Malware zu verbreiten. 

Das Tückische: Beim Quishing nutzen die Angreifer eine Schwachstelle vieler Virenscanner und anderer Sicherheitslösungen aus, die in den QR-Codes keine Gefahr erkennen, sondern sie lediglich als harmlose Bilder wahrnehmen. Da für Nutzer nicht ersichtlich ist, welcher Link sich hinter dem schwarz-weißen Muster eines QR-Codes verbirgt, erweist sich Quishing als überaus erfolgreiche Phishing-Methode.

Wie funktionieren Quishing-Angriffe? 

Ein typischer Quishing-Angriff beginnt mit einer E-Mail, die einen QR-Code enthält. Wie beim klassischen Phishing versuchen die Angreifer in der Regel, Druck auf ihre Opfer auszuüben, indem eine Dringlichkeit sowie ein sofortiger Handlungsbedarf vorgetäuscht werden. So werden Empfänger solcher Mails dazu aufgerufen, ihr Nutzerkonto zu verlängern oder ihre Anmeldedaten zu bestätigen, da sonst eine Löschung des Accounts droht. 
Das Scannen eines betrügerischen QR-Codes entspricht dabei dem Anklicken eines Links in einer herkömmlichen Phishing-Mail. Einmal gescannt, leitet der QR-Code den Benutzer auf eine täuschend echte, aber gefälschte Website, die zur Eingabe sensibler Daten auffordert oder die Geräte ihrer Opfer mit Malware infiziert.

Schutz vor Quishing-Angriffen 

Um sich vor Quishing zu schützen, gelten im Wesentlichen dieselben Vorsichtsmaßnahmen wie beim herkömmlichen Phishing:

  • Seien sie misstrauisch: Scannen Sie keine QR-Codes aus unbekannten oder nicht vertrauenswürdigen Quellen. Seien Sie besonders vorsichtig bei QR-Codes, die in E-Mails von unbekannten Absendern auftauchen. 
  • Verwenden Sie vertrauenswürdige QR-Code-Scanner: Einige Scan-Apps überprüfen die Sicherheit eines Links, bevor sie den Zugriff auf die Website gewähren.
  • Überprüfen Sie die Ziel-URL: Bevor Sie persönliche Informationen eingeben, sollten Sie stets die URL überprüfen, zu der Sie der QR-Code führt. Achten Sie auf die korrekte Schreibweise und darauf, ob eine sichere HTTPS-Verbindung verwendet wird.
  • Awareness: Schaffen Sie ein Bewusstsein für die Gefahren, indem Sie Ihre Mitarbeitenden regelmäßig schulen und über die neuesten Betrugsmethoden wie Quishing aufklären. Zeigen Sie auf, wie sie solche Angriffe erkennen können und an wen sie sich bei Fragen wenden können.
  • Zwei-Faktor-Authentifizierung: Aktivieren Sie, wo immer möglich, die Zwei-Faktor-Authentifizierung, um Ihre Nutzerkonten vor unbefugten Angriffen zu schützen.
  • Erkennungstechnologien nutzen: Investieren Sie in Sicherheitstechnologien, die QR-Codes in E-Mails analysieren und potenziell schädliche Links erkennen können. Technologien, die Künstliche Intelligenz und maschinelles Lernen nutzen, sind hier besonders effektiv.

Vorsicht beim Scannen von QR-Codes 

Quishing ist eine Form des Phishings, die sich zunehmender Beliebtheit erfreut und Unternehmen vor neue Herausforderungen stellt. Um Netzwerke und Daten vor dieser größtenteils noch unterschätzten Gefahr zu schützen, ist proaktives Handeln gefragt. 
Wie auch beim klassischen Phishing empfiehlt sich eine Kombination aus kontinuierlicher Aufklärung, modernen Sicherheitstechnologien und strengen Kontrollmechanismen, um sich effektiv vor der Bedrohung zu schützen. 

Bei der Umsetzung der passenden Sicherheitsstrategie in Ihrem Unternehmen stehen Ihnen die Expertinnen und Experten der LEITWERK AG gerne zur Verfügung.
Kontakt

Informationen zum Datenschutz finden Sie hier.