Quishing: QR-Code-Phishing

Quishing ist die Verwendung von betrügerischen QR-Codes, um Malware auf Ihrem Gerät zu installieren und Zugang zu persönlichen Daten zu erhalten.

Entdecken Sie die Gefahren von QR-Phishing (Quishing): Lernen Sie, es zu erkennen und zu verhindern, um Ihre digitale Sicherheit und Privatsphäre zu gewährleisten.

Kostenloses Antivirus

Was ist quishing?

QR-Phishing, auch bekannt als "quishing", ist eine Cyberkriminalität, die sich die Beliebtheit von QR-Codes zunutze macht. Bei dieser Masche erstellen Cyberkriminelle bösartige QR-Codes, die beim Scannen zu betrügerischen Websites führen oder zum Herunterladen von Schadsoftware auffordern. Da die Menschen QR-Codes zunehmend für verschiedene Zwecke nutzen, z. B. für den Zugriff auf Menüs oder Zahlungen, scannen sie möglicherweise unwissentlich diese betrügerischen Codes und setzen damit ihre persönlichen Daten einem Risiko aus.

Dieses Verhalten wurde während des Super Bowls 2022 hervorgehoben, als die innovative QR-Code-Werbung von Coinbase zu einem erheblichen Anstieg der App-Downloads führte. Es löste jedoch auch Bedenken in der Cybersicherheits-Community aus, insbesondere angesichts der jüngsten Crypto-QR-Betrügereien, bei denen Betrüger QR-Codes nutzten, um Opfer zu manipulieren, damit sie Geld von ihren Konten abheben.

Der Begriff "quishing" kombiniert QR-Codes und Phishing und bezeichnet eine Methode, bei der böswillige Akteure gefälschte QR-Codes erstellen, um Benutzer auf gefälschte Websites zu leiten, Informationen zu stehlen oder Malware auf ihren Geräten zu installieren. Das Ziel ist es, Personen zu täuschen, damit sie glauben, dass sie mit einem harmlosen oder notwendigen QR-Code interagieren, während die wahre Absicht darin besteht, auf persönliche und finanzielle Informationen zuzugreifen und diese zu stehlen.

Was ist ein QR-Code?

QR-Codes, oder Quick-Response-Codes, sind zweidimensionale Barcodes, die eine große Menge an Daten speichern und schnell von Smartphones oder Barcode-Scannern gelesen werden können. Ursprünglich 1994 von einem japanischen Automobilhersteller erfunden, um die Effizienz in der Fertigung zu verbessern, hat die Nutzung von QR-Codes in den letzten Jahren einen Anstieg erfahren.

Sie wurden besonders während der Pandemie populär, da sie eine Möglichkeit boten, die Geschäftskontinuität zu wahren und gleichzeitig Abstandsregeln einzuhalten. Infolgedessen sind Verbraucher mit dem Scannen von QR-Codes vertrauter geworden, wobei Studien vorhersagen, dass bis 2025 mehr als 100 Millionen Nutzer in den USA ihre Telefone zum Scannen von QR-Codes verwenden werden.

Die Vielseitigkeit von QR-Codes, die sowohl von Bildschirmen als auch von Papier gescannt werden können, hat zu ihrer weit verbreiteten Verwendung in verschiedenen Branchen geführt, einschließlich Zahlungsabwicklung, Marketing und Werbung. Heute sind QR-Codes häufig in öffentlichen Bereichen wie Plakatwänden und Restaurants sowie in digitalen Kommunikationsformen wie Textnachrichten, sozialen Medien und E-Mails zu finden.

Statische vs. dynamische QR-Codes

QR-Codes können basierend auf ihrer Datenflexibilität in zwei Haupttypen kategorisiert werden: statisch und dynamisch.

Statische QR-Codes sind fest und können nach ihrer Erstellung nicht mehr verändert werden. Sie werden häufig verwendet, um statische Informationen wie eine Website-URL, Kontaktdaten oder ein WLAN-Passwort zu teilen.

Dynamische QR-Codes hingegen sind flexibler, da die codierten Informationen aktualisiert oder geändert werden können, ohne dass sich das Aussehen des Codes ändert. Sie enthalten eine eindeutige URL, die Benutzer zu einem Server führt, auf dem die Informationen gespeichert sind. Diese Anpassungsfähigkeit macht sie ideal für Situationen, in denen der Inhalt häufig aktualisiert werden muss, wie bei Veranstaltungsinformationen, Werbeangeboten oder Echtzeit-Bestandsverfolgung. Allerdings birgt diese Flexibilität auch ein Sicherheitsrisiko, da Betrüger dynamische QR-Codes ausnutzen können, indem sie deren Quelle ändern und Benutzer auf bösartige Websites umleiten.

Was ist Phishing?

Phishing ist eine weit verbreitete Methode von Cyberkriminellen, um durch Social-Engineering-Angriffe, hauptsächlich über E-Mails, an wertvolle Daten zu gelangen. Eine typische Phishing-E-Mail enthält einen Link oder einen Anhang, der den Benutzer dazu verleitet, darauf zu klicken oder ihn herunterladen , mit dem Ziel, sensible Informationen wie Finanzdaten oder Anmeldedaten für das Unternehmen zu stehlen.

Da die Angreifer jedoch ständig nach effektiveren Techniken suchen, sind neue Phishing-Taktiken aufgetaucht, darunter vishing(Sprach-Phishing), smishing (SMS-Phishing) und quishing (QR-Phishing). Diese Varianten nutzen unterschiedliche Kommunikationskanäle, um ähnliche betrügerische Praktiken durchzuführen. Beim quishing wird insbesondere die Beliebtheit und Bequemlichkeit von QR-Codes ausgenutzt, um Benutzer zur Preisgabe ihrer persönlichen Daten zu verleiten.

Wie funktioniert Quishing?

Quishing ist eine Art von Phishing-Angriff, bei dem QR-Codes verwendet werden, um Personen zum Besuch schädlicher Websites oder zum Herunterladen von Dateien mit Malware zu verleiten. QR-Codes können verschiedene Quellen enthalten, z. B. Links, Dokumente und Zahlungsportale, was sie zu einem vielseitigen Werkzeug für Cyberkriminelle macht. Diese Codes können so manipuliert werden, dass sie bösartige Links, mit Viren verseuchte Dokumente oder gefälschte Zahlungsportale enthalten. Da der Inhalt eines QR-Codes nicht sichtbar ist, wenn er als Bild angezeigt wird, ist er ein ideales Mittel für Betrüger, um Sicherheitsmaßnahmen zu umgehen, indem sie ihn in E-Mails einbetten.

Ein Quishing-Angriff beginnt typischerweise damit, dass ein Cyberkrimineller QR-Codes erstellt, die zu einer betrügerischen Anmeldeseite umleiten, um die Anmeldedaten der Opfer zu sammeln, oder zu einer Seite, die beim Scannen automatisch Malware herunterlädt. Diese bösartigen QR-Codes können als Bilder oder Anhänge in E-Mails eingefügt werden oder an öffentlichen Orten platziert werden, wo Menschen sie wahrscheinlich scannen. Sobald der QR-Code gescannt wird, werden die Opfer möglicherweise aufgefordert, sensible Informationen wie Anmeldedaten oder Bankinformationen einzugeben, oder sie laden unwissentlich schädliche Software oder Apps herunter. In einigen Fällen kann der Download von bösartigen Inhalten automatisch erfolgen, sobald der Code gescannt wird, was das Gerät des Opfers weiter gefährdet.

Verständnis von QRLJacking: Eine Fallstudie zum Quishing

QRLJacking ist eine raffinierte Form des quishing , die speziell auf Quick Response Login (QRL)-Systeme abzielt. QRL ist eine benutzerfreundliche Authentifizierungsmethode, mit der sich Benutzer durch Scannen eines QR-Codes mit ihrem Smartphone bei Websites, Anwendungen oder digitalen Diensten anmelden können. Diese Methode macht das Merken komplexer Passwörter überflüssig und bietet den Nutzern eine bequeme Alternative.

Diese Bequemlichkeit beinhaltet jedoch auch eine Schwachstelle, die Cyberkriminelle zu nutzen gelernt haben. Bei einem QRLJacking-Angriff starten Hacker eine Sitzung auf der Ziel-Website oder App und klonen den legitimen QR-Code. Sie manipulieren dann den geklonten Code, indem sie ihn auf ihren eigenen Server umleiten und ihn in eine gefälschte Anmeldeseite einbetten, die das Original nachahmt. Der bösartige QR-Code wird über E-Mails oder andere Kanäle verteilt, um Benutzer dazu zu verleiten, ihn zu scannen, um sich einzuloggen.

Die Gefahr von QRLJacking wird offensichtlich, wenn die Zwei-Faktor-Authentifizierung nicht aktiviert ist. Sobald das Opfer den manipulierten QR-Code scannt, erhält der Angreifer sofortigen Zugang zum Konto des Opfers. Ein bemerkenswertes Beispiel für diesen Angriff fand bei der ING Bank statt, deren App es Kunden erlaubte, sich durch Scannen eines QR-Codes auf einem zweiten Gerät anzumelden. Cyberkriminelle nutzten dieses Feature aus und manipulierten legitime QR-Codes innerhalb der App. Opfer, die auf den Betrug hereinfielen, entdeckten, dass bedeutende Geldbeträge von ihren Konten verschwunden waren.

Wie können Sie einen quishing erkennen?

Die Erkennung eines quishing kann aufgrund der Natur von QR-Codes, die ihren Inhalt bis zum Scannen verbergen, schwierig sein. Im Gegensatz zu herkömmlichen Phishing-Angriffen enthalten quishing QR-Codes als einfache Bilder oder in Anhängen mit unverdächtigen Erweiterungen, wodurch sie Malware-Detektoren und E-Mail-Filter umgehen können. Dies bedeutet, dass sie sich der Erkennung entziehen können und nicht in den Spam-Ordner verschoben werden, so dass Einzelpersonen anfällig für Social-Engineering-Taktiken sind.

Der Reiz von QR-Codes für Betrüger liegt in ihrer Fähigkeit, Neugierde zu wecken und Emotionen wie Angst und Dringlichkeit auszunutzen. Diese emotionalen Auslöser können unwissende Opfer dazu bringen, bösartige QR-Codes zu scannen, die für betrügerische Aktivitäten vorgesehen sind, wie das Bezahlen gefälschter Rechnungen oder Bußgelder. Die Bequemlichkeit und Geschwindigkeit von QR-Codes werden genutzt, um diese Betrügereien zu erleichtern.

Um sich vor QR-Code-Betrug zu schützen, ist es wichtig, wachsam zu sein und auf bestimmte Anzeichen zu achten, bevor Sie einen QR-Code scannen:

  • Unerwartete oder unerwünschte QR-Codes: Seien Sie vorsichtig bei QR-Codes, die in unerwünschten E-Mails oder Nachrichten erscheinen, insbesondere wenn sie verlangen, dass Sie sofort handeln.
  • Fehlender Kontext oder Erklärung: Legitime QR-Codes sind normalerweise von klaren Erklärungen ihres Zwecks begleitet. Seien Sie vorsichtig bei Codes, die keinen Kontext haben oder von einer unglaubwürdigen Quelle stammen.
  • Verdächtiger Absender: Überprüfen Sie die E-Mail-Adresse des Absenders oder die Kontaktinformationen auf Anzeichen von Unrechtmäßigkeit, wie Rechtschreibfehler oder ungewöhnliche Domainnamen.
  • Dringlichkeit oder Druck: Betrüger erzeugen häufig ein Gefühl der Dringlichkeit, um schnelles Handeln zu erzwingen. Seien Sie skeptisch gegenüber Nachrichten, die Sie dazu drängen, sofort einen QR-Code zu scannen.
  • Überprüfen Sie die Quelle: Wenn möglich, überprüfen Sie die Echtheit des QR-Codes, indem Sie den angeblichen Absender über offizielle Kanäle kontaktieren.
  • Verwenden Sie einen sicheren QR-Code-Scanner: Einige QR-Code-Scanner-Apps bieten Sicherheitsfunktionen, die die Sicherheit des Links überprüfen, bevor er geöffnet wird. Erwägen Sie die Verwendung einer solchen App, um eine zusätzliche Sicherheitsebene hinzuzufügen.

Indem Sie auf diese Anzeichen achten und Vorsicht walten lassen, können Sie das Risiko verringern, Opfer eines Quishing-Angriffs zu werden und Ihre sensiblen Informationen vor einem Missbrauch schützen.

So schützen Sie sich vor Quishing

Um sich gegen Quishing-Angriffe zu schützen, ist es wichtig, allgemeine Phishing-Präventionsstrategien mit Maßnahmen zu kombinieren, die speziell auf die einzigartigen Herausforderungen von QR-Codes zugeschnitten sind:

  1. Überprüfen Sie die QR-Quelle: Seien Sie vorsichtig beim Scannen unbekannter QR-Codes oder solcher, die verlockend gute Angebote versprechen. Wenn der Code von einer scheinbar offiziellen Quelle, einem Freund oder Kollegen stammt, verifizieren Sie seine Echtheit direkt bei ihnen oder besuchen Sie deren offizielle Website.
  2. Verwenden Sie einen zuverlässigen QR-Code-Leser: Während die meisten Smartphones eingebaute QR-Scanfähigkeiten haben, sollten Sie bei Verwendung einer Drittanbieter-App sicherstellen, dass sie vertrauenswürdig ist. Seien Sie wachsam gegenüber betrügerischen Updates für QR-Scan-Apps, da diese in der Vergangenheit zur Verteilung von Malware genutzt wurden.
  3. Vorschau der Ziel-URL: Wenn Ihre Scan-App dies zulässt, sehen Sie sich den Link, auf den der QR-Code verweist, vor dem Zugriff an. Diese Vorsichtsmaßnahme schützt vor QR-Codes, die automatisch Malware herunterladen, sobald sie gescannt werden.
  4. Seien Sie vorsichtig mit persönlichen Informationen: Seien Sie wachsam, wenn Sie nach dem Scannen eines QR-Codes aufgefordert werden, persönliche Informationen auf einer verlinkten Seite einzugeben. Überprüfen Sie das Logo und die vollständige URL der Seite und, wenn möglich, geben Sie die ursprüngliche URL manuell in Ihren Browser ein, anstatt den vom QR-Code bereitgestellten Link zu verwenden.
  5. Zwei-Faktor-Authentifizierung aktivieren: Diese zusätzliche Sicherheitsebene kann einen unbefugten Zugriff auf Ihre Konten verhindern, selbst wenn ein Cyberkrimineller Ihre Anmeldedaten erhält. Seien Sie vorsichtig beim Akzeptieren von Authentifizierungsbenachrichtigungen auf Ihrem Telefon, es sei denn, Sie haben selbst einen Account-Zugangsversuch initiiert.
  6. Bleiben Sie informiert mit Sicherheitsschulungen: Aktualisieren Sie regelmäßig Ihr Wissen über die Taktiken von Cyberkriminellen und wie Sie bei potenziellen Angriffen reagieren können, um Bedrohungen voraus zu sein.

Durch das Befolgen dieser Empfehlungen können Sie Ihre Verteidigung gegen Quishing-Angriffe stärken und Ihre sensiblen Informationen davor schützen, in die falschen Hände zu geraten.

Was ist ein QR-Code?

Was ist Phishing?

Was ist Social Engineering?

Was ist ein digitaler Fußabdruck?

Was ist Spear-Phishing?

Was ist Catfishing?

Was ist ein Phishing-E-Mail?

FAQs

Warum sind QR-Codes riskant?

QR-Codes können von Cyberkriminellen für bösartige Aktionen genutzt werden, wie das Einbetten von Malware in die Codes. Wenn gescannt, können diese kompromittierten QR-Codes Geräte mit verschiedenen Arten von Malware infizieren, einschließlich Viren, Würmern, Trojanern, Spyware und Adware, was zum Diebstahl persönlicher Informationen, unbefugtem Zugriff auf sensible Daten oder Phishing-Angriffen führen kann.