Quishing: QR-Code-Phishing

Quishing ist die Verwendung von betrügerischen QR-Codes, um Malware auf Ihrem Gerät zu installieren und Zugang zu persönlichen Daten zu erhalten.

Entdecken Sie die Gefahren von QR-Phishing (Quishing): Lernen Sie, es zu erkennen und zu verhindern, um Ihre digitale Sicherheit und Privatsphäre zu gewährleisten.

Kostenloses Antivirus

Was ist Quishing?

QR-Phishing, auch bekannt als 'Quishing', ist ein Cyberverbrechen, das die Beliebtheit von QR-Codes ausnutzt. Bei diesem Betrug erstellen Cyberkriminelle bösartige QR-Codes, die beim Scannen zu betrügerischen Websites führen oder zum Herunterladen schädlicher Software auffordern. Da Menschen zunehmend QR-Codes für verschiedene Zwecke nutzen, wie zum Beispiel das Zugreifen auf Speisekarten oder das Bezahlen, scannen sie möglicherweise unwissentlich diese irreführenden Codes und setzen damit ihre persönlichen Informationen einem Risiko aus.

Dieses Verhalten wurde während des Super Bowl 2022 hervorgehoben, als eine innovative QR-Code-Werbung von Coinbase zu einem signifikanten Anstieg der App-Downloads führte. Gleichzeitig weckte es allerdings auch Bedenken in der Cybersicherheitsgemeinschaft, besonders angesichts der kürzlichen Crypto-QR-Betrügereien, bei denen Betrüger QR-Codes nutzen, um Opfer dazu zu bringen, Geld von ihren Konten abzuheben.

Der Begriff „Quishing“ kombiniert QR-Codes und Phishing und bezeichnet eine Methode, bei der bösartige Akteure gefälschte QR-Codes erstellen, um Benutzer auf gefälschte Websites zu leiten, Informationen zu stehlen oder Malware auf ihren Geräten zu installieren. Das Ziel besteht darin, Benutzer zu täuschen, sodass sie glauben, sie interagieren mit einem harmlosen oder notwendigen QR-Code, während der wahre Zweck darin besteht, persönliche und finanzielle Informationen zu stehlen.

Was ist ein QR-Code?

QR-Codes, oder Quick-Response-Codes, sind zweidimensionale Barcodes, die eine große Menge an Daten speichern und schnell von Smartphones oder Barcode-Scannern gelesen werden können. Ursprünglich 1994 von einem japanischen Automobilhersteller erfunden, um die Effizienz in der Fertigung zu verbessern, hat die Nutzung von QR-Codes in den letzten Jahren einen Anstieg erfahren.

Sie wurden besonders während der Pandemie populär, da sie eine Möglichkeit boten, die Geschäftskontinuität zu wahren und gleichzeitig Abstandsregeln einzuhalten. Infolgedessen sind Verbraucher mit dem Scannen von QR-Codes vertrauter geworden, wobei Studien vorhersagen, dass bis 2025 mehr als 100 Millionen Nutzer in den USA ihre Telefone zum Scannen von QR-Codes verwenden werden.

Die Vielseitigkeit von QR-Codes, die sowohl von Bildschirmen als auch von Papier gescannt werden können, hat zu ihrer weit verbreiteten Verwendung in verschiedenen Branchen geführt, einschließlich Zahlungsabwicklung, Marketing und Werbung. Heute sind QR-Codes häufig in öffentlichen Bereichen wie Plakatwänden und Restaurants sowie in digitalen Kommunikationsformen wie Textnachrichten, sozialen Medien und E-Mails zu finden.

Statische vs. dynamische QR-Codes

QR-Codes können basierend auf ihrer Datenflexibilität in zwei Haupttypen kategorisiert werden: statisch und dynamisch.

Statische QR-Codes sind fest und können nach ihrer Erstellung nicht mehr verändert werden. Sie werden häufig verwendet, um statische Informationen wie eine Website-URL, Kontaktdaten oder ein WLAN-Passwort zu teilen.

Dynamische QR-Codes hingegen sind flexibler, da die codierten Informationen aktualisiert oder geändert werden können, ohne dass sich das Aussehen des Codes ändert. Sie enthalten eine eindeutige URL, die Benutzer zu einem Server führt, auf dem die Informationen gespeichert sind. Diese Anpassungsfähigkeit macht sie ideal für Situationen, in denen der Inhalt häufig aktualisiert werden muss, wie bei Veranstaltungsinformationen, Werbeangeboten oder Echtzeit-Bestandsverfolgung. Allerdings birgt diese Flexibilität auch ein Sicherheitsrisiko, da Betrüger dynamische QR-Codes ausnutzen können, indem sie deren Quelle ändern und Benutzer auf bösartige Websites umleiten.

Was ist Phishing?

Phishing ist eine weit verbreitete Methode von Cyberkriminellen, um über Social Engineering-Angriffe, hauptsächlich per E-Mail, wertvolle Daten zu erlangen. Ein typisches Phishing-E-Mail enthält einen Link oder Anhang, der den Benutzer dazu verleitet, darauf zu klicken oder es herunterzuladen, um sensible Informationen wie Finanzdaten oder Unternehmens-Anmeldedaten zu stehlen.

Da Angreifer jedoch kontinuierlich nach effektiveren Techniken suchen, sind neue Phishing-Taktiken aufgetaucht, einschließlich Vishing (Voice Phishing), Smishing (SMS Phishing) und Quishing (QR-Phishing). Diese Varianten nutzen verschiedene Kommunikationskanäle, um ähnliche täuschende Praktiken durchzuführen, wobei Quishing speziell die Beliebtheit und Bequemlichkeit von QR-Codes nutzt, um Benutzer dazu zu verleiten, ihre persönlichen Informationen preiszugeben.

Wie funktioniert Quishing?

Quishing ist eine Art Phishing-Angriff, der QR-Codes verwendet, um Personen dazu zu bringen, schädliche Websites zu besuchen oder Dateien mit Malware herunterzuladen. QR-Codes können verschiedene Quellen hosten, wie Links, Dokumente und Zahlungsportale, was sie zu einem vielseitigen Werkzeug für Cyberkriminelle macht. Diese Codes können manipuliert werden, um bösartige Links, virenverseuchte Dokumente oder gefälschte Zahlungsportale zu enthalten. Da der Inhalt eines QR-Codes nicht sichtbar ist, wenn er als Bild angezeigt wird, bietet er Betrügern eine ideale Möglichkeit, Sicherheitsmaßnahmen zu umgehen, indem sie ihn in E-Mails einbetten.

Ein Quishing-Angriff beginnt typischerweise damit, dass ein Cyberkrimineller QR-Codes erstellt, die zu einer betrügerischen Anmeldeseite umleiten, um die Anmeldedaten der Opfer zu sammeln, oder zu einer Seite, die beim Scannen automatisch Malware herunterlädt. Diese bösartigen QR-Codes können als Bilder oder Anhänge in E-Mails eingefügt werden oder an öffentlichen Orten platziert werden, wo Menschen sie wahrscheinlich scannen. Sobald der QR-Code gescannt wird, werden die Opfer möglicherweise aufgefordert, sensible Informationen wie Anmeldedaten oder Bankinformationen einzugeben, oder sie laden unwissentlich schädliche Software oder Apps herunter. In einigen Fällen kann der Download von bösartigen Inhalten automatisch erfolgen, sobald der Code gescannt wird, was das Gerät des Opfers weiter gefährdet.

Verständnis von QRLJacking: Eine Fallstudie zum Quishing

QRLJacking ist eine raffinierte Form des Quishing, die speziell auf Quick Response Login (QRL)-Systeme abzielt. QRL ist eine benutzerfreundliche Authentifizierungsmethode, die es Nutzern ermöglicht, sich auf Websites, Anwendungen oder digitalen Diensten einzuloggen, indem sie einen QR-Code mit ihrem Smartphone scannen. Diese Methode beseitigt die Notwendigkeit, sich komplexe Passwörter zu merken, und bietet eine bequeme Alternative für Nutzer.

Diese Bequemlichkeit beinhaltet jedoch auch eine Schwachstelle, die Cyberkriminelle zu nutzen gelernt haben. Bei einem QRLJacking-Angriff starten Hacker eine Sitzung auf der Ziel-Website oder App und klonen den legitimen QR-Code. Sie manipulieren dann den geklonten Code, indem sie ihn auf ihren eigenen Server umleiten und ihn in eine gefälschte Anmeldeseite einbetten, die das Original nachahmt. Der bösartige QR-Code wird über E-Mails oder andere Kanäle verteilt, um Benutzer dazu zu verleiten, ihn zu scannen, um sich einzuloggen.

Die Gefahr von QRLJacking wird offensichtlich, wenn die Zwei-Faktor-Authentifizierung nicht aktiviert ist. Sobald das Opfer den manipulierten QR-Code scannt, erhält der Angreifer sofortigen Zugang zum Konto des Opfers. Ein bemerkenswertes Beispiel für diesen Angriff fand bei der ING Bank statt, deren App es Kunden erlaubte, sich durch Scannen eines QR-Codes auf einem zweiten Gerät anzumelden. Cyberkriminelle nutzten dieses Feature aus und manipulierten legitime QR-Codes innerhalb der App. Opfer, die auf den Betrug hereinfielen, entdeckten, dass bedeutende Geldbeträge von ihren Konten verschwunden waren.

Wie können Sie einen Quishing-Angriff erkennen?

Das Erkennen eines Quishing-Angriffs kann aufgrund der inhärenten Natur von QR-Codes, die ihren Inhalt verbergen, bis sie gescannt werden, herausfordernd sein. Anders als bei traditionellen Phishing-Angriffen enthalten Quishing-E-Mails QR-Codes als einfache Bilder oder innerhalb von Anhängen mit unauffälligen Erweiterungen, was es ihnen ermöglicht, Malware-Detektoren und E-Mail-Filter zu umgehen. Sie können also unentdeckt bleiben und gelangen nicht in den Spam-Ordner, wodurch die Betroffenen anfällig für Social Engineering-Techniken werden.

Der Reiz von QR-Codes für Betrüger liegt in ihrer Fähigkeit, Neugierde zu wecken und Emotionen wie Angst und Dringlichkeit auszunutzen. Diese emotionalen Auslöser können unwissende Opfer dazu bringen, bösartige QR-Codes zu scannen, die für betrügerische Aktivitäten vorgesehen sind, wie das Bezahlen gefälschter Rechnungen oder Bußgelder. Die Bequemlichkeit und Geschwindigkeit von QR-Codes werden genutzt, um diese Betrügereien zu erleichtern.

Um sich vor QR-Code-Betrug zu schützen, ist es wichtig, wachsam zu sein und auf bestimmte Anzeichen zu achten, bevor Sie einen QR-Code scannen:

  • Unerwartete oder unerwünschte QR-Codes: Seien Sie vorsichtig bei QR-Codes, die in unerwünschten E-Mails oder Nachrichten erscheinen, insbesondere wenn sie verlangen, dass Sie sofort handeln.
  • Fehlender Kontext oder Erklärung: Legitime QR-Codes sind normalerweise von klaren Erklärungen ihres Zwecks begleitet. Seien Sie vorsichtig bei Codes, die keinen Kontext haben oder von einer unglaubwürdigen Quelle stammen.
  • Verdächtiger Absender: Überprüfen Sie die E-Mail-Adresse des Absenders oder die Kontaktinformationen auf Anzeichen von Unrechtmäßigkeit, wie Rechtschreibfehler oder ungewöhnliche Domainnamen.
  • Dringlichkeit oder Druck: Betrüger erzeugen häufig ein Gefühl der Dringlichkeit, um schnelles Handeln zu erzwingen. Seien Sie skeptisch gegenüber Nachrichten, die Sie dazu drängen, sofort einen QR-Code zu scannen.
  • Überprüfen Sie die Quelle: Wenn möglich, überprüfen Sie die Echtheit des QR-Codes, indem Sie den angeblichen Absender über offizielle Kanäle kontaktieren.
  • Verwenden Sie einen sicheren QR-Code-Scanner: Einige QR-Code-Scanner-Apps bieten Sicherheitsfunktionen, die die Sicherheit des Links überprüfen, bevor er geöffnet wird. Erwägen Sie die Verwendung einer solchen App, um eine zusätzliche Sicherheitsebene hinzuzufügen.

Indem Sie auf diese Anzeichen achten und Vorsicht walten lassen, können Sie das Risiko verringern, Opfer eines Quishing-Angriffs zu werden und Ihre sensiblen Informationen vor einem Missbrauch schützen.

So schützen Sie sich vor Quishing

Um sich gegen Quishing-Angriffe zu schützen, ist es wichtig, allgemeine Phishing-Präventionsstrategien mit Maßnahmen zu kombinieren, die speziell auf die einzigartigen Herausforderungen von QR-Codes zugeschnitten sind:

  1. Überprüfen Sie die QR-Quelle: Seien Sie vorsichtig beim Scannen unbekannter QR-Codes oder solcher, die verlockend gute Angebote versprechen. Wenn der Code von einer scheinbar offiziellen Quelle, einem Freund oder Kollegen stammt, verifizieren Sie seine Echtheit direkt bei ihnen oder besuchen Sie deren offizielle Website.
  2. Verwenden Sie einen zuverlässigen QR-Code-Leser: Während die meisten Smartphones eingebaute QR-Scanfähigkeiten haben, sollten Sie bei Verwendung einer Drittanbieter-App sicherstellen, dass sie vertrauenswürdig ist. Seien Sie wachsam gegenüber betrügerischen Updates für QR-Scan-Apps, da diese in der Vergangenheit zur Verteilung von Malware genutzt wurden.
  3. Vorschau der Ziel-URL: Wenn Ihre Scan-App dies zulässt, sehen Sie sich den Link, auf den der QR-Code verweist, vor dem Zugriff an. Diese Vorsichtsmaßnahme schützt vor QR-Codes, die automatisch Malware herunterladen, sobald sie gescannt werden.
  4. Seien Sie vorsichtig mit persönlichen Informationen: Seien Sie wachsam, wenn Sie nach dem Scannen eines QR-Codes aufgefordert werden, persönliche Informationen auf einer verlinkten Seite einzugeben. Überprüfen Sie das Logo und die vollständige URL der Seite und, wenn möglich, geben Sie die ursprüngliche URL manuell in Ihren Browser ein, anstatt den vom QR-Code bereitgestellten Link zu verwenden.
  5. Zwei-Faktor-Authentifizierung aktivieren: Diese zusätzliche Sicherheitsebene kann einen unbefugten Zugriff auf Ihre Konten verhindern, selbst wenn ein Cyberkrimineller Ihre Anmeldedaten erhält. Seien Sie vorsichtig beim Akzeptieren von Authentifizierungsbenachrichtigungen auf Ihrem Telefon, es sei denn, Sie haben selbst einen Account-Zugangsversuch initiiert.
  6. Bleiben Sie informiert mit Sicherheitsschulungen: Aktualisieren Sie regelmäßig Ihr Wissen über die Taktiken von Cyberkriminellen und wie Sie bei potenziellen Angriffen reagieren können, um Bedrohungen voraus zu sein.

Durch das Befolgen dieser Empfehlungen können Sie Ihre Verteidigung gegen Quishing-Angriffe stärken und Ihre sensiblen Informationen davor schützen, in die falschen Hände zu geraten.

Was ist ein QR-Code?

Was ist Phishing?

Was ist Social Engineering?

Was ist ein digitaler Fußabdruck?

Was ist Spear-Phishing?

Was ist Catfishing?

Was ist ein Phishing-E-Mail?

FAQs

Warum sind QR-Codes riskant?

QR-Codes können von Cyberkriminellen für bösartige Aktionen genutzt werden, wie das Einbetten von Malware in die Codes. Wenn gescannt, können diese kompromittierten QR-Codes Geräte mit verschiedenen Arten von Malware infizieren, einschließlich Viren, Würmern, Trojanern, Spyware und Adware, was zum Diebstahl persönlicher Informationen, unbefugtem Zugriff auf sensible Daten oder Phishing-Angriffen führen kann.