Quishing: Betrug mit QR-Codes

Quishing: Betrug mit QR-Codes

Neu ist diese Phishing-Methode mittels QR-Codes nicht, aktuell wird aber wieder vermehrt davor gewarnt. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) macht auf die Thematik aufmerksam.

Denn Online-Betrüger werden nicht müde, ihr kriminelles Vorgehen immer weiter zu entwickeln, um ihre „Erfolgsaussichten“ zu optimieren.

Wie beim „normalen“ Phishing ist auch beim Quishing das Ziel der Betrüger, Nutzerdaten abzufangen, bevorzugt Zugangsdaten für Online-Konten.

Quishing-Mails enthalten aber keine verdächtigen Links oder schädlichen Anhänge, sondern eingebundene QR-Codes, die der Nutzer mit seinem Smartphone scannen soll, vorgeblich um z.B. ein drängendes Sicherheitsproblem zu lösen oder ein wichtiges Dokument zu erhalten.

Scannt man den QR-Code, erfolgt eine Weiterleitung zu einer gefälschten Webseite, auf der meist Anmeldedaten eingegeben werden sollen – die direkt bei den Betrügern landen. Aktuell stehen Nutzerdaten für den Cloud-Service Microsoft 365 hoch im Kurs. Der gescannte QR-Code führt zu einer täuschend echten Nachahmung der Log-in-Seite von Microsoft 365.

Die Verwendung von QR-Codes ist für Betrüger deshalb so vielversprechend, weil diese Codes von vielen Antivieren-Programmen nicht bzw. wesentlich seltener als gefährlich erkannt werden. Denn QR-Codes werden als Bilddateien wahrgenommen, die nicht als bedrohlich gelten.

Wie kann man sich vor Quishing schützen?

Zu den wichtigsten Empfehlungen gehören:

  • Überprüfen Sie immer (!) die Quelle des QR-Codes, auch bei bekanntem Absender. Kontaktieren Sie diesen im Zweifel und fragen nach der Richtigkeit. Möglicherweise wurden seine Daten gestohlen und Betrüger versenden den Code in seinem Namen.
  • Scannen Sie keine QR-Codes von unbekannten Absendern.
  • Prüfen Sie die Umgebung des QR-Codes, z.B. auch bei Werbeflyern, Plakaten o.ä.
    Kommt Ihnen etwas verdächtig oder manipuliert vor?
  • Vorsicht auch bei kurzen Links: Zeigt der QR-Scanner beim Lesen des Codes einen verkürzten Link an, lässt sich nicht ersehen, wohin er führt.
  • Setzen Sie einen QR-Reader ein, der Sicherheitsfunktionen mitbringt.
    Wichtig: Nach dem Scannen des Codes sollte eine Vorschau des Ziels angezeigt werden OHNE es automatisch zu öffnen. Hier muss der Nutzer die Möglichkeit haben, einzugreifen und den Vorgang ggf. auch abzubrechen.

Und nicht zuletzt, denn das ist ohnehin ein wichtiger Schutz für Ihre Online-Konten:
Aktivieren Sie für Ihre Accounts wo immer möglich die Zwei-Faktor-Authentifizierung. Sollten Ihre Login-Daten doch einmal abgefangen worden sein, sind sie dann für die Betrüger nutzlos. Denn ohne den 2. Faktor, z.B. Ihr Smartphone, an das der Freigabe-Code für den betreffenden Login geschickt wird, haben die Kriminellen keinen Zugriff auf Ihren Account und Ihre Daten.

Quellen:

Vorsicht Quishing: Phishing mit QR-Codes umgeht Schutzmaßnahmen (unternehmen-cybersicherheit.de)
Quishing: Phishing mit QR-Code (psw-group.de)
Quishing: Die neue Phishing-Kampagne nutzt QR-Codes (it-daily.net)
Quishing: Neue Phishing-Kampagne setzt auf QR-Codes (8com.de)
Achtung bei QR-Codes: „Quishing“ nimmt zu (network-king.net)

Bild:

Unter Verwendung von
Simple Alert, Wikimedia Commons. By Tokyoship (Own work) (CC BY-SA 3.0)

Share this post

Leave a Reply

Your email address will not be published.


Diese Website nutzt Google Analytics. Möchtest du nicht weiter getrackt werden. Klicke hier.