QR-Code-Phishing-Angriffe (Quishing): eine unterschätze Gefahr

Wenn Sie bei Phishing sofort an E-Mails denken, sind Sie nicht allein. Allerdings sind diese nur eine von vielen Möglichkeiten, wie Phishing-Angriffe ablaufen können. Aufgrund der relativ geringen Kosten und der hohen Erfolgsquote nutzen Cyberkriminelle diese Betrugsform sehr häufig. Während die meisten Phishing-Angriffe immer noch per E-Mail erfolgen, gibt es seit einiger Zeit bereits auch Betrugsversuche per Textnachricht oder sogar per Telefonanruf. Aktuell ist jedoch eine neue Art von Phishing-Angriffen zu beobachten, und sie kommt aus einer unerwarteten Quelle: QR-Codes. 

QR-Code-Phishing, auch „Quishing“ genannt, nutzt physische oder digitale QR-Codes, um Benutzer auf gefälschte Websites zu locken, die darauf abzielen, sensible Informationen zu stehlen oder ein Gerät mit Malware zu infizieren. Quishing nutzt eine weit verbreitete Technologie, was ein gewisses Grundvertrauen bei den Opfern mit sich bringt. Wie bei anderen Arten von Phishing wird genau dieses Vertrauen ausgenutzt, indem die Angreifer entweder neue, physische QR-Codes platzieren, oder gefälschte QR-Codes als Teil eines E-Mail- oder Text-Phishing-Angriffs versenden.  

Doch wie sieht Quishing in der Umsetzung konkret aus? 

An der Tür einer Bank ist ein QR-Code angebracht. Wenn der QR-Code gescannt wird, wird der Benutzer aufgefordert, sich bei seinem Bankkonto anzumelden, um beispielsweise an einem Gewinnspiel teilzunehmen. Die legitim wirkende Website, auf die der Nutzer verwiesen wird, ist jedoch in Wirklichkeit betrügerisch, und alle eingegebenen persönlichen Daten und Kontoinformationen sind nun kompromittiert.  

Auch gerade digital ist Quishing schwer zu erkennen und gefährlich.

Beispielweise erhält ein Nutzer eine E-Mail von seinem Lieblingseinzelhändler, die einen QR-Code enthält, um sich für ein neues Treueprogramm anzumelden. Wenn der Benutzer den Code auf seinem Computerbildschirm scannt, wird er aufgefordert, seine persönlichen Daten einzugeben, einschließlich des Namens, Adresse, Benutzername und Passwort.  

Diese E-Mail enthält ebenfalls einen gefälschten QR-Code und ist ein Phishing-Angriff, der allen anderen Formen von Phishing-Angriffen ähnelt, nur unter Verwendung einer neuen Technologie. Diese Daten können nun verwendet werden, um auf die Website des Einzelhändlers und alle dort gespeicherten Informationen, einschließlich der Kreditkartendaten, zuzugreifen. Wenn dieses Passwort auf anderen Websites wiederverwendet wird, was 39 Prozent der Internetnutzer leider immer noch tun, könnte es in weiteren Fällen für Betrug verwendet werden. Darüber hinaus können die persönlichen Daten auf dem Schwarzmarkt verkauft werden, um von Dritten für künftige kriminelle Handlungen genutzt zu werden. 

Was hilft gegen QR-Code-Phishing? Aktivieren Sie phishing-resistente MFA für Ihre Konten  

QR-Codes selbst können zwar nicht gekapert werden, aber es ist sehr einfach, einen neuen und betrügerischen QR-Code-Aufkleber über eine legitime Quelle zu legen oder digital über E-mail an Nutzer heranzutreten. Es ist daher wichtig zu prüfen, ob die Quelle seriös ist. QR-Codes aus einer unbekannten Quelle sollte nicht vertraut werden. QR-Codes, die per E-Mail zugestellt werden, sollten immer mit äußerster Vorsicht behandelt werden. 

Nutzer sollten, wo immer möglich, Konten mit Multi-Faktor-Authentifizierung (MFA) aktivieren, um den Erfolg von Phishing-Angriffen zu erschweren. Zwar ist jede Form von MFA besser als die Verwendung eines Benutzernamens und eines Passworts, aber nicht jede MFA ist gleich. Effektiven Schutz bieten phishing-resistente MFA-Optionen wie gerätegebundene Passkeys – also Hardware-Sicherheitsschlüssel. 

Für Websites, die noch keine phishing-sicheren Methoden unterstützen, sollten Nutzer einen seriösen Passwort-Manager wie 1Password verwenden, um starke Anmeldedaten für jede Website zu erstellen und die Anmeldung auf verschiedenen Geräten zu erleichtern. 

Ein Kommentar von Alexander Koch, VP Sales EMEA bei Yubico