Quishing – Phishing mit QR-Codes
Speisekarten öffnen, Parkgebühren bezahlen, Eintritt zu Veranstaltungen erhalten, Informationen abrufen oder sich in ein WLAN einloggen – das ist mit Hilfe von QR-Codes möglich. QR-Codes sind praktisch, können aber auch für kriminelle Zwecke missbraucht werden: Das sogenannte “Quishing” ist eine mittlerweile weit verbreitete Methode von Betrügern, um an sensible Informationen wie Benutzernamen, Passwörter und Kreditkartendaten zu gelangen. Wie Quishing funktioniert und wie Sie sich schützen können, erklären wir in unserem Blogbeitrag.
Was sind QR-Codes?
QR-Codes (aus dem Englischen, Quick Response, „schnelle Antwort“) sind zweidimensionale Codes. Sie wurden 1994 von Masahiro Hara für den japanischen Automobilzulieferer Denso Wave erfunden. Die Inspiration für QR-Codes fand Masahiro Hara im Brettspiel Go.
Gegenüber herkömmlichen, eindimensionalen Strichcodes bieten QR-Codes einige Vorteile: Es können bis zu 7.089 Ziffern oder 4.296 Buchstaben sowie Satz- und Sonderzeichen hinterlegt werden. Neben Zahlen können also auch Wörter und Sätze und damit URLs gespeichert werden. Außerdem sind sie teilweise beschädigt lesbar.
Die zahlreichen Vorteile von QR-Codes haben dazu geführt, dass sie in unterschiedlichsten Branchen zum Einsatz kommen. Besonders beliebt sind sie inzwischen bei der Zahlungsabwicklung, aber auch im Marketing und in der Werbung. Heute werden QR-Codes an öffentlichen Orten wie Werbetafeln, in Restaurants, auf Flyern und Aufklebern, aber auch auf Smartphones – in Textnachrichten, sozialen Medien und E-Mails – verwendet.
Was ist Quishing?
Beim Quishing – der Begriff ist eine Wortkombination aus „QR“ und „Phishing“ – werden QR-Codes als Angriffsvektor für Cyberangriffe eingesetzt. Phishing wiederum ist ein Kunstwort („fishing“, englisch für „fischen“) und bezeichnet Versuche, sich durch gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger elektronischer Kommunikationspartner auszugeben. Zweck des Betrugs ist es beispielsweise, an persönliche Daten eines Internetnutzers zu gelangen, ihn zum Einloggen auf einer gefälschten oder nachgeahmten Webseite zu verleiten, um dann Zugangsdaten wie Passwörter und Benutzernamen abzugreifen.
Die Methoden, die zum Phishing eingesetzt werden, passen sich dabei den jeweiligen technischen Gegebenheiten und Entwicklungen an: Ob mit Hilfe von ChatGPT, als KI-gestützte Spear-Phishing-Angriffe, durch URL-Shortener, in Archiven, als Vishing (Voice Phishing über Telefonanrufe), Smishing (Phishing über SMS-Nachrichten) oder eben als QR-Code-gestütztes Quishing – die Ziele sind immer die gleichen, nämlich vertrauliche Informationen von Opfern zu stehlen.
Wie funktioniert Quishing (QR-Code-Phishing)?
Zunächst erstellen die Angreifer einen QR-Code, der eine URL enthält, die zu einer bösartigen Website führt oder eine schädliche Aktion auslöst. Diese URL kann eine Phishing-Website sein, die darauf abzielt, persönliche Informationen wie Benutzernamen, Passwörter oder Kreditkartendaten zu stehlen. Alternativ kann die URL zu einer Website führen, die Schadsoftware herunterlädt und auf dem Gerät des Nutzers installiert.
Die Angreifer platzieren die schädlichen QR-Codes an öffentlichen Orten, auf gedruckten Materialien oder als Teil von E-Mails, in sozialen Medien oder auf Webseiten. Dann behaupten sie beispielsweise, dass ein Paket nicht zugestellt werden konnte, und bitten um einen neuen Liefertermin. Oder sie weisen auf angebliche Probleme mit einem Benutzerkonto hin und fordern Sie auf, Ihre Daten zu bestätigen. Oder sie informieren Sie über angeblich verdächtige Aktivitäten auf Ihrem Benutzerkonto und drängen Sie, Ihr Passwort zu ändern. Die angeblichen Gründe sind vielfältig.
In jedem Fall erzeugen die Nachrichten ein Gefühl der Dringlichkeit, um die Opfer zu einer unüberlegten Eingabe ihrer Codes zu verleiten. Nach dem Scannen des QR-Codes wird der Benutzer auf die bösartige Website umgeleitet oder es wird direkt ein Malware-Download gestartet, wodurch das Gerät kompromittiert wird.
Medienbruch führt zu Sicherheitslücke
Hinzu kommt, dass QR-Codes in den meisten Fällen mit dem Smartphone gescannt werden. Dieser Medienbruch ist deshalb problematisch, weil der Angriff auf dem privaten Gerät stattfinden kann – unabhängig davon, wie gut die IT des Unternehmens gesichert ist. Angriffe können so nicht überwacht oder unterbunden werden. Wenn Angestellte dann Passwörter eingeben, werden die eingegebenen Daten an den Angreifer übermittelt, der sie für weitere Angriffe oder Identitätsdiebstahl verwenden kann.
Quishing und seine Folgen
Die Anzahl der Quishing-Kampagnen nimmt stetig zu. In einigen bekannten Fällen ging es um das Abgreifen von Kreditkarten-Daten, in zwei anderen Fällen wurden gefälschte Webseiten dazu genutzt, um die Opfer zum angeblichen Begleichen von Parktickets zu bewegen – das Geld landete stattdessen allerdings bei den Betrügern. Auch Zugangsdaten für die Cloud-Anwendungen von Microsoft 365 sollen so erbeutet werden.
Die Folgen erfolgreicher Quishing-Angriffe können schwerwiegend sein und sowohl persönliche als auch berufliche Bereiche betreffen. Datendiebstahl, finanzielle Verluste, Infektionen mit Schadsoftware, Verlust der Privatsphäre oder auch Schäden für Unternehmen sind wahrscheinlich.
Wie kann ich mich vor Quishing schützen?
Grundsätzlich gilt das, was auch bei Phishing und Spam gilt: Wachsamkeit und eine gesunde Portion Skepsis gegenüber QR-Codes unbekannter Herkunft ist der erste Schritt, um nicht zum Opfer zu werden. Auch ist es sinnvoll, die Ziel-URL zu prüfen, beispielsweise daraufhin, ob eine HTTPS-Verbindung verwendet wird.
Um Ihre Benutzerkonten zu schützen, sollten Sie außerdem immer Zwei-Faktor-Authentifizierung einsetzen. Auch ist das regelmäßige Einspielen von Updates für Ihr Betriebssystem, Ihre Apps und Ihre Sicherheitssoftware ein guter Weg, um Schutz vor den neuesten Bedrohungen zu gewährleisten.
Gerade bei E-Mails, die QR-Codes enthalten, sollten Sie aufpassen – vor allem, wenn diese E-Mails von unbekannten Absendern stammen. Überprüfen Sie die Echtheit auch von E-Mails, die auf den ersten Blick von bekannten Unternehmen oder Organisationen zu stammen scheinen, bevor Sie QR-Codes scannen oder Links anklicken.
Schutz vor Quishing: NoSpamProxy erkennt und analysiert QR-Codes
Das QR Code Scanning in NoSpamProxy schützt Sie und Ihr Unternehmen wirksam vor Quishing. Die Core Antispam Engine in NoSpamProxy erkennt QR-Codes in E-Mails und Anhängen und wertet gleichzeitig die in den QR-Codes hinterlegten URLs aus.
Wird die jeweilige URL als bösartig erkannt, vergibt NoSpamProxy entsprechend SCL-Punkte (Spam Confidence Level) und blockiert die E-Mail. Gefährliche QR-Codes landen so erst gar nicht in den Posteingängen Ihrer Mitarbeitenden und Ihr Unternehmen ist geschützt.
Noch kein NoSpamProxy im Einsatz?
Mit NoSpamProxy schützen Sie Ihr Unternehmen zuverlässig vor Cyberangriffen. Fordern Sie jetzt Ihre kostenfreie Testversion an!
