Quishing: QR-Code-Phishing

Quishing ist die Verwendung von betrügerischen QR-Codes, um Malware auf Ihrem Gerät zu platzieren und Zugang zu persönlichen Daten zu erhalten.

Entdecken Sie die Gefahren des QR-Phishings (Quishing): Lernen Sie, es zu erkennen und zu verhindern, um Ihre digitale Sicherheit und Privatsphäre zu gewährleisten.

Kostenloses Antivirenprogramm

Was ist Quishing?

QR-Phishing, auch bekannt als "Quishing", ist eine Cyberkriminalität, die sich die Beliebtheit von QR-Codes zunutze macht. Bei dieser Masche erstellen Cyberkriminelle bösartige QR-Codes, die beim Scannen zu betrügerischen Websites führen oder zum Herunterladen Sien von Schadsoftware auffordern. Da die Menschen QR-Codes zunehmend für verschiedene Zwecke nutzen, z. B. für den Zugriff auf Menüs oder Zahlungen, scannen sie möglicherweise unwissentlich diese betrügerischen Codes und setzen damit ihre persönlichen Daten einem Risiko aus.

Dieses Verhalten wurde während des Super Bowls 2022 hervorgehoben, als die innovative QR-Code-Werbung von Coinbase zu einem erheblichen Anstieg der App-Downloads führte. Es löste jedoch auch Bedenken in der Cybersicherheits-Community aus, insbesondere angesichts der jüngsten Crypto-QR-Betrügereien, bei denen Betrüger QR-Codes nutzten, um Opfer zu manipulieren, damit sie Geld von ihren Konten abheben.

Der Begriff "Quishing" kombiniert QR-Codes und Phishing und bezeichnet eine Methode, bei der böswillige Akteure gefälschte QR-Codes erstellen, um Benutzer auf gefälschte Websites zu leiten, Informationen zu stehlen oder Malware auf ihren Geräten zu installieren. Das Ziel ist es, Personen zu täuschen, damit sie glauben, dass sie mit einem harmlosen oder notwendigen QR-Code interagieren, während die wahre Absicht darin besteht, auf persönliche und finanzielle Informationen zuzugreifen und diese zu stehlen.

Was ist ein QR-Code?

QR-Codes oder Quick-Response-Codes sind zweidimensionale Strichcodes, die eine große Menge an Daten speichern und von Smartphones oder Barcode-Scannern schnell gelesen werden können. Ursprünglich wurden QR-Codes 1994 von einem japanischen Automobilhersteller erfunden, um die Effizienz in der Fertigung zu verbessern. In den letzten Jahren wurden sie immer häufiger eingesetzt.

Sie wurden besonders während der Pandemie populär, um die Kontinuität des Geschäftsbetriebs aufrechtzuerhalten und gleichzeitig die sozialen Distanzierungsregeln einzuhalten. Infolgedessen haben sich die Verbraucher immer mehr an das Scannen von QR-Codes gewöhnt. Studien sagen voraus, dass bis 2025 mehr als 100 Millionen Nutzer in den USA ihr Telefon zum Scannen von QR-Codes verwenden werden.

Die Vielseitigkeit von QR-Codes, die sowohl von Bildschirmen als auch von Papier gescannt werden können, hat dazu geführt, dass sie in verschiedenen Branchen wie der Zahlungsabwicklung, dem Marketing und der Werbung weit verbreitet sind. Heute findet man QR-Codes häufig an öffentlichen Plätzen wie Plakatwänden und Restaurants sowie in der digitalen Kommunikation wie Textnachrichten, sozialen Medien und E-Mails.

Statische vs. dynamische QR-Codes

QR-Codes können aufgrund ihrer Datenflexibilität in zwei Haupttypen eingeteilt werden: statische und dynamische.

Statische QR-Codes sind feststehend und können nach ihrer Erstellung nicht mehr geändert werden. Sie werden in der Regel für die Weitergabe statischer Informationen wie einer Website-URL, Kontaktdaten oder eines WLAN-Passworts verwendet.

Dynamische QR-Codes sind dagegen flexibler, da die kodierten Informationen aktualisiert oder geändert werden können, ohne das Aussehen des Codes zu verändern. Sie enthalten eine eindeutige URL, die den Nutzer zu einem Server führt, auf dem die Informationen gespeichert sind. Diese Anpassungsfähigkeit macht sie ideal für Situationen, in denen der Inhalt häufig aktualisiert werden muss, wie z. B. bei Veranstaltungsinformationen, Werbeangeboten oder Bestandsverfolgung in Echtzeit. Diese Flexibilität stellt jedoch auch ein Sicherheitsrisiko dar, da Betrüger dynamische QR-Codes ausnutzen können, indem sie ihre Quelle ändern, um die Benutzer auf bösartige Websites umzuleiten.

Was ist Phishing?

Phishing ist eine weit verbreitete Methode von Cyberkriminellen, um durch Social-Engineering-Angriffe, hauptsächlich über E-Mails, an wertvolle Daten zu gelangen. Eine typische Phishing-E-Mail enthält einen Link oder einen Anhang, der den Benutzer dazu verleitet, darauf zu klicken oder auf herunterladen zu klicken, mit dem Ziel, sensible Informationen wie Finanzdaten oder Anmeldedaten für das Unternehmen zu stehlen.

Da die Angreifer jedoch ständig nach effektiveren Techniken suchen, sind neue Phishing-Taktiken entstanden, darunter Vishing (Voice Phishing), Smishing (SMS Phishing) und Quishing (QR Phishing). Diese Varianten nutzen unterschiedliche Kommunikationskanäle, um ähnliche betrügerische Praktiken durchzuführen. Beim Quishing wird insbesondere die Beliebtheit und Bequemlichkeit von QR-Codes ausgenutzt, um Benutzer zur Preisgabe ihrer persönlichen Daten zu verleiten.

Wie funktioniert das Quilling?

Quishing ist eine Art von Phishing-Angriff, bei dem QR-Codes verwendet werden, um Personen zum Besuch schädlicher Websites oder zum Herunterladen Sien von Dateien mit Malware zu verleiten. QR-Codes können verschiedene Quellen enthalten, z. B. Links, Dokumente und Zahlungsportale, was sie zu einem vielseitigen Werkzeug für Cyberkriminelle macht. Diese Codes können so manipuliert werden, dass sie bösartige Links, mit Viren verseuchte Dokumente oder gefälschte Zahlungsportale enthalten. Da der Inhalt eines QR-Codes nicht sichtbar ist, wenn er als Bild angezeigt wird, ist er ein ideales Mittel für Betrüger, um Sicherheitsmaßnahmen zu umgehen, indem sie ihn in E-Mails einbetten.

Ein Quishing-Angriff beginnt in der Regel damit, dass Cyberkriminelle QR-Codes erstellen, die zu einer betrügerischen Anmeldeseite weiterleiten, um die Anmeldedaten der Opfer abzugreifen, oder zu einer Website, die beim Scannen automatisch Malware herunterlädt. Diese bösartigen QR-Codes können als Bilder oder Anhänge in E-Mails eingefügt oder an öffentlichen Orten platziert werden, an denen die Wahrscheinlichkeit besteht, dass sie gescannt werden. Sobald der QR-Code gescannt wird, können die Opfer aufgefordert werden, sensible Daten wie Anmeldedaten oder Bankinformationen einzugeben, oder sie können unwissentlich herunterladen schädliche Software oder Apps herunterladen. In einigen Fällen wird herunterladen mit bösartigem Inhalt automatisch direkt nach dem Scannen des Codes aufgerufen, wodurch das Gerät des Opfers weiter gefährdet wird.

QRLJacking verstehen: Eine Fallstudie zum Quishing

QRLJacking ist eine raffinierte Form des Quishings, die speziell auf Quick Response Login (QRL)-Systeme abzielt. QRL ist eine benutzerfreundliche Authentifizierungsmethode, mit der sich Benutzer durch Scannen eines QR-Codes mit ihrem Smartphone bei Websites, Anwendungen oder digitalen Diensten anmelden können. Diese Methode macht das Merken komplexer Passwörter überflüssig und bietet den Nutzern eine bequeme Alternative.

Diese Bequemlichkeit führt jedoch auch zu einer Schwachstelle, die Cyberkriminelle auszunutzen gelernt haben. Bei einem QRLJacking-Angriff initiieren Hacker eine Sitzung auf der anvisierten Website oder App und klonen den legitimen QR-Code. Anschließend manipulieren sie den geklonten Code, indem sie ihn auf ihren eigenen Server umleiten und ihn in eine gefälschte Anmeldeseite einbetten, die das Original imitiert. Der bösartige QR-Code wird über E-Mails oder andere Kanäle verbreitet und verleitet die Nutzer dazu, ihn zu scannen, um sich anzumelden.

Die Gefahr von QRLJacking wird deutlich, wenn die Multi-Faktor-Authentifizierung nicht aktiviert ist. Sobald das Opfer den manipulierten QR-Code einscannt, erhält der Angreifer sofort Zugriff auf das Konto des Opfers. Ein bemerkenswertes Beispiel für diesen Angriff war die ING Bank, deren App es Kunden ermöglichte, sich durch Scannen eines QR-Codes auf einem zweiten Gerät anzumelden. Cyberkriminelle nutzten diese Funktion aus und manipulierten legitime QR-Codes innerhalb der App. Unwissende Nutzer, die dem Betrug zum Opfer fielen, mussten feststellen, dass erhebliche Geldbeträge von ihren Konten verschwunden waren.

Wie können Sie einen Quishing-Angriff erkennen?

Die Erkennung eines Quishing-Angriffs kann aufgrund der Natur von QR-Codes, die ihren Inhalt bis zum Scannen verbergen, schwierig sein. Im Gegensatz zu herkömmlichen Phishing-Angriffen enthalten Quishing-E-Mails QR-Codes als einfache Bilder oder in Anhängen mit unverdächtigen Erweiterungen, so dass sie Malware-Detektoren und E-Mail-Filter umgehen können. Dies bedeutet, dass sie sich der Erkennung entziehen können und nicht in den Spam-Ordner verschoben werden, so dass Einzelpersonen anfällig für Social-Engineering-Taktiken sind.

Der Reiz von QR-Codes liegt für Betrüger darin, dass sie Neugierde wecken und Gefühle wie Angst und Dringlichkeit ausnutzen. Diese emotionalen Auslöser können ahnungslose Opfer dazu verleiten, bösartige QR-Codes zu scannen, die für betrügerische Aktivitäten gedacht sind, z. B. für die Bezahlung gefälschter Rechnungen oder Geldbußen. Die Bequemlichkeit und Schnelligkeit von QR-Codes wird ausgenutzt, um diese Betrügereien zu erleichtern.

Um sich vor QR-Code-Betrug zu schützen, ist es wichtig, wachsam zu sein und auf bestimmte Anzeichen zu achten, bevor man einen QR-Code scannt:

  • Unerwartete oder unaufgeforderte QR-Codes: Seien Sie vorsichtig bei QR-Codes, die in unaufgeforderten E-Mails oder Nachrichten erscheinen, vor allem, wenn sie Sie zu sofortigem Handeln auffordern.
  • Fehlender Kontext oder Erklärung: Seriöse QR-Codes werden in der Regel von klaren Erklärungen zu ihrem Zweck begleitet. Seien Sie vorsichtig bei Codes, denen der Kontext oder eine glaubwürdige Quelle fehlt.
  • Verdächtiger Absender: Überprüfen Sie die E-Mail-Adresse oder die Kontaktinformationen des Absenders auf Anzeichen von Illegalität, z. B. Rechtschreibfehler oder ungewöhnliche Domänennamen.
  • Dringlichkeit oder Druck: Betrüger erzeugen oft ein Gefühl der Dringlichkeit, um schnelles Handeln zu erreichen. Seien Sie skeptisch bei Nachrichten, die Sie drängen, einen QR-Code sofort zu scannen.
  • Überprüfen Sie die Quelle: Wenn möglich, überprüfen Sie die Legitimität des QR-Codes, indem Sie den vermeintlichen Absender über offizielle Kanäle kontaktieren.
  • Verwenden Sie einen sicheren QR-Code-Scanner: Einige QR-Code-Scanner-Apps bieten Sicherheitsfunktionen, die die Sicherheit des Links vor dem Öffnen überprüfen. Ziehen Sie die Verwendung einer solchen App in Betracht, um eine zusätzliche Sicherheitsebene zu schaffen.

Wenn Sie auf diese Anzeichen achten und Vorsicht walten lassen, können Sie das Risiko, Opfer eines Quishing-Angriffs zu werden, verringern und Ihre sensiblen Daten vor der Preisgabe schützen.

So können Sie sich vor Quishing schützen

Um sich gegen Quishing-Angriffe zu schützen, ist es wichtig, allgemeine Phishing-Präventionsstrategien mit Maßnahmen zu kombinieren, die speziell auf die besonderen Herausforderungen von QR-Codes zugeschnitten sind:

  1. Überprüfen Sie die QR-Quelle: Seien Sie vorsichtig beim Scannen von QR-Codes, insbesondere von unbekannten Quellen oder solchen, die zu gute Angebote versprechen. Wenn der Code von einer scheinbar offiziellen Quelle, einem Freund oder einem Kollegen stammt, überprüfen Sie die Echtheit direkt bei der betreffenden Person oder besuchen Sie deren offizielle Website.
  2. Verwenden Sie einen zuverlässigen QR-Code-Reader: Die meisten Smartphones verfügen zwar über integrierte QR-Scan-Funktionen, aber wenn Sie sich für eine App eines Drittanbieters entscheiden, stellen Sie sicher, dass diese seriös ist. Seien Sie auf der Hut vor betrügerischen Updates für QR-Scan-Apps, da diese in der Vergangenheit dafür bekannt waren, Malware zu verbreiten.
  3. Vorschau der Ziel-URL: Wenn Ihre Scan-App es zulässt, sehen Sie sich den Link, zu dem der QR-Code führt, in der Vorschau an, bevor Sie ihn aufrufen. Diese Vorsichtsmaßnahme hilft, sich vor QR-Codes zu schützen, die beim Scannen automatisch herunterladen Malware enthalten.
  4. Seien Sie vorsichtig mit persönlichen Informationen: Seien Sie nach dem Scannen eines QR-Codes wachsam, wenn Sie auf einer verlinkten Seite aufgefordert werden, persönliche Daten einzugeben. Überprüfen Sie das Logo und die vollständige URL der Seite. Wenn möglich, geben Sie die Original-URL manuell in Ihren Browser ein, anstatt den vom QR-Code bereitgestellten Link zu verwenden.
  5. Aktivieren Sie die Zwei-Faktor-Authentifizierung: Diese zusätzliche Sicherheitsebene kann den unbefugten Zugriff auf Ihre Konten verhindern, selbst wenn ein Cyberkrimineller Ihre Anmeldedaten erlangt hat. Seien Sie vorsichtig bei der Annahme von Authentifizierungsbenachrichtigungen auf Ihrem Telefon, es sei denn, Sie haben einen Zugriffsversuch auf Ihr Konto initiiert.
  6. Bleiben Sie informiert mit Schulungen zum Thema Sicherheit: Wenn Sie Ihr Wissen über die Taktiken von Cyberkriminellen und die Reaktionen auf potenzielle Angriffe regelmäßig aktualisieren, sind Sie den Bedrohungen immer einen Schritt voraus.

Wenn Sie diese Empfehlungen befolgen, können Sie sich besser gegen Quishing-Angriffe schützen und verhindern, dass Ihre sensiblen Daten in die falschen Hände geraten.

Was ist ein QR-Code?

Was ist Phishing?

Was ist Social Engineering?

Was ist ein digitaler Fußabdruck?

Was ist Spear-Phishing?

Was ist Catfishing?

Was ist eine Phishing-E-Mail?

FAQ

QR-Codes können von Cyberkriminellen für böswillige Aktionen genutzt werden, z. B. zum Einbetten von Malware in die Codes. Wenn diese kompromittierten QR-Codes gescannt werden, können sie Geräte mit verschiedenen Arten von Malware infizieren, darunter Viren, Würmer, Trojaner, Spyware und Adware, die zum Diebstahl persönlicher Informationen, unbefugtem Zugriff auf sensible Daten oder Phishing-Angriffen führen können.