QR-Code-Phishing

Was ist QR-Code-Phishing?

QR-Code-Phishing oder Quishing ist ein Social-Engineering-Phishing-Angriff, bei dem der Empfänger absichtlich dazu verleitet wird, einen QR-Code zu scannen, der ihn auf eine gefälschte Website weiterleitet. Diese meist in eine E-Mail eingebetteten Code-Bilder umgehen die Sicherheitskontrollen und die meisten Link-Filter, was sie weitaus gefährlicher macht als die meisten anderen Formen von Phishing.

Der Aufstieg der QR-Code-Technologie

QR-Codes (Quick-Response-Codes) wurden 1994 in Japan für das Automobilunternehmen Denso Wave erfunden, um die Kennzeichnung von Teilen zu erleichtern. Sie sind verschlüsselte Bilder, die aus schwarz-weißen Quadraten bestehen und durch Reed-Solomon-Fehlerkorrektur entschlüsselt werden.

Im Gegensatz zu eindimensionalen Barcodes, die nur von oben nach unten gescannt werden können, werden QR-Codes von oben nach unten und von links nach rechts gescannt. Heutzutage werden diese Codes entwickelt und versendet, um Nutzer zu einer URL zu leiten, den Versand von E-Mails oder Textnachrichten zu unterstützen und dem Empfänger eine Nachricht anzuzeigen.

Breitere Anwendungen begannen bereits im Jahr 1997. Die Akzeptanz war zunächst zurückhaltend, obwohl die Verwendung in den letzten zehn Jahren stetig zunahm. In jüngster Zeit ist die Nutzung von QR-Codes jedoch regelrecht explodiert, insbesondere nach der Pandemie. Es wird erwartet, dass im Jahr 2025 mehr als 100 Millionen Smartphone-Nutzer in den USA einen QR-Code scannen werden.

Wie QR-Code-Phishing funktioniert

Ähnlich wie normale Phishing-E-Mails imitieren Quishing-Betrügereien Marketing-E-Mails von seriösen, vertrauenswürdigen Quellen, wie zum Beispiel Geldinstituten. Die Nachricht betont die Dringlichkeit und fordert zum schnellen Handeln auf, indem sie einen Link enthält, auf den der Empfänger klicken soll. Dieser bösartige Link führt zu einer Website, die entweder Anmeldedaten oder persönliche Daten wie eine Privatadresse oder eine PIN abfragt oder sofort mit dem Herunterladen einer Art von Malware beginnt.

Während in zahlreichen Artikeln und Kursen am Arbeitsplatz beschrieben wird, wie man E-Mail-Phishing-Betrügereien erkennt und meldet, ist Quishing nach wie vor weniger bekannt, was es zu einer attraktiven Option für Cyberkriminelle macht. Die weit verbreitete Verwendung von QR-Codes hat sich von E-Mails zu einer nahezu allgegenwärtigen Erscheinung ausgeweitet. Man findet sie in Zeitungen, Zeitschriften oder an beliebigen öffentlichen Orten.

Risiken und Auswirkungen

Da Quishing darauf ausgelegt ist, die meisten Filter- und Sicherheitsvorkehrungen zu umgehen, ist es riskanter als andere Phishing-Betrügereien. Quishing birgt mehrere Risiken und Konsequenzen.

Schaden für den Einzelnen und Unternehmen

Wie bei den meisten Phishing-Betrügereien wird auch beim Quishing versucht, Malware auf dem Gerät des Opfers zu installieren, um persönliche und finanzielle Daten zu stehlen. Die Opfer von Quishing-Betrug werden oft Opfer von kompromittierten persönlichen Geräten, Identitätsdiebstahl und, am häufigsten, von Finanzbetrug. Mit den von Einzelnen erlangten Daten kann wie bei allen anderen Phishing-Varianten auch, Unternehmen erheblicher Schaden zugefügt werden.

Viele Quishing-Betrügereien gefährden sensible Verbraucherdaten. Diese Verstöße geben nicht nur vertrauliche Informationen preis, die der einzelne Kunde für sicher hielt, sondern schädigen auch den Ruf des geschädigten Unternehmens, was zu einem Verlust von Kunden und Umsatzeinbußen führen kann.

Typische Ziele des QR-Code-Phishing

Da die meisten Angreifer einen finanziellen Gewinn anstreben, sind die häufigsten Ziele dieser Kampagnen Unternehmen und Infrastrukturen, die sensible Finanzdaten speichern, wie Banken, Online-Shops, IT-Unternehmen und Zahlungssysteme. Während Angriffe auf diese Unternehmen eine sehr reale Sicherheitsbedrohung darstellen, betrifft Quishing auch einzelne Kontoinhaber.

Betrüger, die es auf Einzelpersonen abgesehen haben, tarnen sich häufig als weithin anerkannte und vertrauenswürdige Unternehmen - darunter Amazon, LinkedIn und Apple -, um potenziellen Opfern ein falsches Gefühl der Vertrautheit und des Vertrauens zu vermitteln, so dass sie eher bereit sind, den QR-Code zu scannen, ohne die Quelle zu hinterfragen.

Vorbeugende Maßnahmen

Es gibt einige Maßnahmen, um einen Quishing-Betrug zu vereiteln. Wie bei jedem anderen Betrug sollten Sie es vermeiden, auf E-Mails zu antworten, die ein Gefühl der Dringlichkeit vermitteln. Achten Sie auf andere Warnzeichen rund um den QR-Code und wenden Sie die üblichen Sicherheitsmaßnahmen an, zum Beispiel eine angemessene Passworthygiene.

Legitime QR-Codes erkennen

Bei der Überprüfung der Quelle eines QR-Codes in einer E-Mail oder einer automatischen Textnachricht gibt es mehrere potenzielle Anzeichen für Betrug. Kein QR-Code, der ohne Vorwarnung oder von einem unbekannten Absender empfangen wird, sollte ohne weitere Nachforschungen über die Quelle gescannt werden. Selbst wenn der Code gültig erscheint, sollten Sie sich mit dem betreffenden Unternehmen in Verbindung setzen, um seine Legitimität zu überprüfen.

Wenn Sie im Außenbereich auf einen zufälligen QR-Code stoßen, sei es in einem Park, einem Restaurant oder einem anderen Ort, achten Sie auf Anzeichen für eine Manipulation, zum Beispiel auf einen versteckten Code darunter.

Anwendung der bewährten Vorgehensweisen für mobile Sicherheit

Im Allgemeinen sind Apps zum Scannen von QR-Codes unnötig. Das einzige Tool, das zum Scannen eines Codes benötigt wird, ist die vorinstallierte Kamera-App des Smartphones.

Die Sicherheit von Passwörtern ist das nützlichste Instrument zur Verhinderung von Cyberangriffen. Passwörter sind am sichersten, wenn sie als Passphrasen oder für den Benutzer aussagekräftige Phrasen behandelt werden. Die Verwendung mehrerer Passphrasen für verschiedene Konten schützt persönliche Daten und verhindert Angriffe.

Die meisten allgemeinen Dienste, die heutzutage ein Kennwort erfordern - YouTube, Google, Microsoft - und fast alle Social-Media-Plattformen haben die Möglichkeit, die Multifaktor-Authentifizierungsmethode für die Anmeldung zu verwenden. Diese zusätzlichen Barrieren erschweren es Angreifern und anderen Cyberkriminellen, auf persönliche und geschäftliche Konten zuzugreifen.

Eine installierte Sicherheits-App oder Antiviren-Software ist der zuverlässigste Schutz vor bösartigen Links. Sicherheitsanwendungen und Antivirensoftware blockieren automatische Downloads und warnen vor Links zu illegalen Websites.

Sich mit Phishing-Taktiken vertraut machen

Einzelne Nutzer und Unternehmen müssen sich regelmäßig über die wechselnden Phishing-Taktiken und die verschiedenen Angriffsformen informieren.

In den meisten Quishing-E-Mails wird die Dringlichkeit betont, um den Empfänger emotional zu manipulieren. Die Empfänger sollten die E-Mail zuerst durchlesen und die Adresse überprüfen, von der sie stammt. Betrügerische Nachrichten enthalten in der Regel manchmal nur auf den zweiten Blick erkennbare Fehler oder falsche Informationen. Und in keiner seriösen E-Mail werden persönliche Daten oder geheime berufliche Informationen verlangt.