Quishing: Cyberkriminelle nutzen QR-Codes für Phishing-Angriffe

Quishing
Foto: Adobe Stock

Phishing-Angriffe über E-Mails oder betrügerische Websites sind längst bekannt, und das Bewusstsein für diese Gefahren hat in den letzten Jahren zugenommen. Doch Cyberkriminelle setzen nun verstärkt auf eine neue, tückische Methode: Sie verschicken täuschend echt aussehende Briefe per Post, die mit QR-Codes versehen sind. Diese Masche, bekannt als „Quishing“, spielt mit dem Vertrauensvorschuss, den viele Menschen gedruckten Dokumenten gegenüber haben. Während elektronische Nachrichten oft misstrauisch hinterfragt werden, gilt ein offizieller Brief nach wie vor als seriöser. Genau das nutzen Betrüger nun gezielt aus.

Was ist Quishing?

„Quishing“ ist eine Kombination aus „QR“ und „Phishing“. Der Unterschied zu herkömmlichem Phishing liegt darin, dass die Betrüger anstelle von Links in E-Mails oder schädlichen Anhängen nun QR-Codes verwenden, die sowohl digital als auch physisch, zum Beispiel in Briefen, eingesetzt werden. Der Empfänger wird aufgefordert, den abgedruckten QR-Code mit seinem Smartphone zu scannen – eine Handlung, die vielen Menschen inzwischen alltäglich und sicher erscheint. Doch hinter dem Code verbirgt sich oft eine gefährliche Falle.

Täuschend echte Briefe – der neue Trick

Immer häufiger setzen Cyberkriminelle bei Quishing auf per Post versandte Schreiben, die auf den ersten Blick seriös wirken. Diese Briefe kommen angeblich von Banken, Behörden, Versicherungen oder auch von bekannten Geschäftspartnern und fordern den Empfänger auf, den QR-Code zu scannen, um beispielsweise die Identität zu bestätigen, ein vermeintliches Problem mit dem Konto zu beheben oder einen Rechnungsbetrag anzuweisen. Die Verbraucherzentrale NRW warnte erst vor Kurzem unter anderem zum Beispiel vor gefälschten Briefen im Namen der Commerzbank.

Wie funktioniert der Angriff?

Die Funktionsweise eines Quishing-Angriffs ist einfach, aber effektiv. Der Empfänger scannt den im Brief abgedruckten QR-Code mit seinem Smartphone. Dieser leitet ihn in der Regel auf eine gefälschte Website weiter, die einer seriösen Seite, etwa der einer Bank, täuschend ähnlichsieht. Dort wird das Opfer aufgefordert, persönliche Daten wie Benutzernamen, Passwörter oder sogar Kreditkarteninformationen einzugeben. In anderen Fällen kann das Scannen des QR-Codes auch dazu führen, dass schädliche Software auf das Smartphone heruntergeladen wird, die vertrauliche Daten ausspioniert oder das Gerät kompromittiert.

Warum ist Quishing so gefährlich?

Quishing nutzt gezielt den Vertrauensvorschuss, den physische Briefe nach wie vor genießen. Zudem bleibt der Inhalt eines QR-Codes unsichtbar, bis er gescannt wird. Anders als bei Links in E-Mails, die oft verdächtig wirken und durch einfache Prüfungen als betrügerisch erkannt werden können, zeigt ein QR-Code seinen Inhalt nicht sofort an. So können Opfer leichter in die Falle tappen.

Ein weiteres Problem ist, dass viele IT-Sicherheitslösungen QR-Codes nicht als Bedrohung erkennen. Virenscanner prüfen E-Mails auf verdächtige Links oder schädliche Anhänge, aber QR-Codes, die in einer E-Mail oder einem Dokument eingebettet sind, werden oft nur als Bild erkannt und nicht weiter analysiert. Dies gibt den Betrügern die Möglichkeit, Angriffe „unter dem Radar“ der Sicherheitsprogramme durchzuführen.

Wie können Sie sich schützen?

Um sich und Ihr Unternehmen vor Quishing zu schützen, sollten Sie einige wichtige Vorsichtsmaßnahmen beachten:

  1. Misstrauen auch bei physischen Briefen: Seien Sie vorsichtig, wenn Sie QR-Codes in Briefen erhalten, selbst wenn der Absender seriös wirkt. Besonders dann, wenn es um sensible Themen wie Ihre Bankdaten geht. Hinterfragen Sie Aufforderungen, QR-Codes zu scannen, und kontaktieren Sie im Zweifel den Absender über offizielle Kanäle.
  2. Keine QR-Codes leichtfertig scannen: Egal ob digital oder gedruckt – scannen Sie keine QR-Codes, wenn Sie sich nicht absolut sicher über die Echtheit des Absenders sind.
  3. QR-Code-Scanner mit Sicherheitsfunktionen nutzen: Einige Geräte und Apps bieten vor dem Öffnen der mit dem QR-Code verknüpften Website eine Vorschau der URL. Diese Funktion kann helfen, betrügerische Seiten zu erkennen.
  4. Multi-Faktor-Authentifizierung (MFA): Selbst, wenn Betrüger Zugangsdaten stehlen, können sie sich ohne die zweite oder dritte Sicherheitsstufe nicht in Ihr Konto einloggen. Nutzen Sie MFA, um zusätzliche Sicherheit zu gewährleisten.
  5. Aufklärung und Schulung: Besonders in Unternehmen ist es wichtig, alle Mitarbeiter über die Gefahren von Quishing zu informieren. Die besten technischen Sicherheitsmaßnahmen helfen wenig, wenn Angestellte nicht wissen, wie sie solche Betrugsversuche erkennen können.

Was tun, wenn Sie auf Quishing hereingefallen sind?

Sollten Sie auf Quishing hereingefallen sein, ist schnelles Handeln gefragt:

  • Sofortige Sperrung: Kontaktieren Sie Ihre Bank oder den betroffenen Dienstleister und lassen Sie die betroffenen Konten sofort sperren.
  • Malware-Prüfung: Wenn Sie den QR-Code gescannt und eine Datei heruntergeladen haben, lassen Sie Ihr Gerät umgehend auf Malware überprüfen.
  • Anzeige erstatten: Melden Sie den Vorfall bei der Polizei, um weitere Schritte einzuleiten und andere zu schützen.

Quishing ist eine neue, raffinierte Betrugsmasche, die oft den vertrauensvollen Umgang mit physischen Briefen ausnutzt. Besonders gefährlich ist, dass viele Menschen gedruckte Dokumente weniger kritisch hinterfragen als digitale Nachrichten. Daher ist es umso wichtiger, auch bei Briefen wachsam zu bleiben und QR-Codes nicht leichtfertig zu scannen. Mit der richtigen Vorsicht und Sicherheitsmaßnahmen können Sie sich und Ihr Unternehmen effektiv vor dieser neuen Bedrohung schützen.


Ansprechpartner

Alexander Petto
Telefon 0681 5809-141
a.petto@hwk-saarland.de