Phishing mit QR-Codes

Cyberkriminelle nutzen beim Betrug im Internet die unterschiedlichsten Methoden. Was es mit der Masche „Quishing“ auf sich hat und wie Sie sich davor schützen.

München – Durch die immer weiter fortschreitende Digitalisierung in der Gesellschaft entstehen konstant neue IT-Anwendungen. Damit gehen auch potenzielle Sicherheitslücken einher, weswegen die Bandbreite von Straftaten im Internet wächst. Zu den am weitesten verbreiteten Methoden der Cyber-Kriminalität gehört unter anderem das Phishing – diese Masche wurde von Internet-Betrügern aber noch weiter ausgebaut. Beim sogenannten „Quishing“ setzen Kriminelle den QR-Code als Methode zum Phishing ein.

Bedeutung von „Quishing“: Was es mit der neuen Phishing-Methode auf sich hat

Quick-Response-Codes, kurz QR-Codes, sind spätestens seit der Corona-Pandemie ein Teil des digitalen Alltags geworden. Hinter ihnen verbergen sich Flug- und Kinotickets, Speisekarten in Restaurants oder Corona-Testergebnisse. Aber auch auf Flyern, Plakaten oder Getränkeautomaten werden QR-Codes zum Scannen zunehmend verwendet. Diese Verbreitung nutzen Cyberkriminelle zu ihrem Vorteil und setzen QR-Codes für Phishing-Angriffe ein.

Der Begriff „Quishing“ setzt sich aus den Worten QR und Phishing zusammen und beschreibt demnach das Phishing mit QR-Codes. Die Vorgehensweise bei der Internetmasche ähnelt Chip.de zufolge der bewährten Methode des Phishing in vielen Punkten. Internet-Betrüger versenden entweder E-Mails, in denen sie auf ein akutes Sicherheitsproblem hinweisen. Oder sie spielen ihren Opfern die Notwendigkeit eines Dokumentes vor, an das sie durch das Einscannen eines QR-Codes auf ihrem Smartphone gelangen. In jedem Fall wird also direktes Handeln von dem Quishing-Empfänger gefordert.

Cyberkriminelle nutzen die Betrugsmasche des „Quishing" – was es damit auf sich hat. (Symbolbild)

QR-Codes im Rahmen von Cyberkriminalität verwendet – wie Sie sich vor „Quishing“ schützen

Gehen Verbraucher diesen Aufforderungen nach und scannen den QR-Code ein, landen sie mit ihrem Smartphone auf gefälschten Websites. „Und hier können unterschiedliche Dinge passieren. Entweder laden Nutzende Dokumente herunter, die mit Malware verseucht sind, oder sie geben Login-Daten ein, die direkt an die Betrüger weitergeleitet werden“, erklärt Patrycja Schrenk, Geschäftsführerin der PSW GROUP, im Gespräch mit der IT-Sicherheitszeitschrift <kes>.

Die Zugangsdaten können laut Chip.de dann unter anderem dafür genutzt werden, im Namen der Opfer Online-Shopping zu betreiben oder Zugang zu geschützten Netzwerken zu erhalten. Mit folgenden Tipps können Sie sich laut Schrenk vor Quishing-Angriffen schützen:

Seien Sie vorsichtig beim Öffnen von E-Mails, die von unbekannten Absendern stammen und prüfen Sie, ob es sich um eine Fälschung handeln könnte

Öffnen Sie bei verdächtigen und dubiosen E-Mails keine Anhänge, klicken Sie auf keine Links und scannen Sie keine QR-Codes

Kontaktieren Sie im Zweifelsfall den Absender der E-Mail über offizielle Kanäle, um sich zu vergewissern, dass die Mail tatsächlich von der Person stammt

Nutzen Sie eine Multi-Faktor-Authentifizierung

Warum Quishing von Sicherheitslösungen in E-Mails nicht erkannt wird

Mit der Methode des Quishing nutzen Cyberkriminelle laut der Website Polizei dein Partner – ein Präventionsportal von der Gewerkschaft der Polizei – eine Schwäche von IT-Sicherheitslösungen aus. Denn diese scannen E-Mails zwar normalerweise auf Anhänge und URLs, mit QR-Codes können diese Kontrollen aber umgangen werden.

Demnach sehen die Sicherheitslösungen in diesen lediglich ein Bild und demnach kein Risiko für Empfänger. Aktuell warnt die Verbraucherzentrale indes auch vor einer fiesen Paypal-Masche von Internetbetrügern.

