Quishing – Phishing in Neuauflage

QR-Codes erfreuen sich grosser Beliebtheit und werden sehr vielseitig eingesetzt. Cyberkriminelle missbrauchen sie jedoch zum Abgreifen von persönlichen Daten und Finanzinformationen. Da Quishing-Angriffe auf dem Vormarsch sind, sollte man unbedingt wissen, wie man sich schützen kann.

Die meisten Nutzer wissen mittlerweile, dass man Links, die von unbekannten Telefonnummern oder E-Mail-Adressen stammen, nicht anklicken sollte. Wir haben gelernt, bei der Weitergabe persönlicher Daten oder Finanzinformationen vorsichtig zu sein, Phishing und Smishing sind keine Fremdwörter mehr für uns. So wie die Cybersicherheit immer besser wird, finden jedoch auch Cyberkriminelle immer neue Möglichkeiten, um uns hinters Licht führen. Eine wachsende Gefahr ist das Quishing, eine Betrugsmasche mit QR-Codes.

 

Was ist ein QR-Code?
Wenn Sie ein Smartphone besitzen, ist Ihnen ein QR-Code sicherlich schon einmal begegnet. Solche schwarz-weiss gemusterte Quadrate speichern Informationen, zum Beispiel Links zu Websites, und sind mittlerweile allgegenwärtig: in Speisekarten von Restaurants, auf Tickets, in Anzeigen und vielem mehr. Während der COVID-19-Pandemie gewannen QR-Codes verstärkt an Beliebtheit. Sie halfen bei der Dokumentation von Impfungen, der kontaktlosen Zahlung und der Erfassung von Kundendaten. Leider haben nun Cyberkriminelle QR-Codes für sich entdeckt und stehlen mit ihrer Hilfe persönliche Daten. Dieses sogenannte Quishing wird häufig in E-Mails verpackt.

 

Was ist Quishing?
«Quishing» kombiniert die Begriffe «QR-Code» und «Phishing». Wie beim Phishing werden gefälschte E-Mails versendet, die Empfänger sollen aber nicht mit Links, sondern mit QR-Codes getäuscht werden. Scannt man einen solchen Code, gelangt man auf gefälschte Websites, auf denen man persönliche Daten oder Finanzinformationen eingeben soll und sich so Schadsoftware einfängt. Quishing-Mails stammen scheinbar von seriösen Unternehmen wie Lieferdiensten oder Einzelhändlern. Da es sich bei QR-Codes lediglich um Bilder handelt, entgehen sie sehr oft den Sicherheitssystemen von E-Mail-Programmen, was dieser Betrugsmasche zu noch mehr Erfolg verhilft.

 

Warum sollte ich mir über Quishing Gedanken machen?
Quishing ist in der letzten Zeit häufiger geworden. Hacker nehmen mit QR-Codes mobile Geräte ins Visier, denn diese haben oft einen schwächeren Phishing-Schutz als Computer. Da sich QR-Codes während der COVID-19-Pandemie stark verbreitet haben, ist es im Alltag schwieriger geworden, echte Codes von gefälschten zu unterscheiden. Hacker locken mit täuschend echt aussehenden E-Mails und geben sich oft als Abteilung eines Unternehmens aus, zum Beispiel als Personalabteilung, um Beschäftigte zur Offenlegung sensibler Daten zu verleiten.

Vor Kurzem wurde ein grosses Landwirtschaftsunternehmen mit über 16.000 Beschäftigten zur Zielscheibe eines solchen Angriffs. In ihren E-Mails gaben sich die Scammer als Personalabteilung aus und verlangten vermeintliche Daten zur Gehaltsabrechnung. Die E-Mails enthielten einen QR-Code, über den die Mitarbeiter auf eine gefälschte SharePoint-Anmeldeseite gelangten, wo ihre Zugangsdaten abgegriffen werden sollten.

In einer anderen Betrugskampagne erhielt ein US-amerikanisches Energieunternehmen über 1.000 gefälschte E-Mails, in denen die Benutzer aufgefordert wurden, «zur Sicherung ihres Kontos» QR-Codes zu scannen. Über die Codes gelangte man auf gefälschte Microsoft-Anmeldeseiten, wo es die Betrüger wiederum auf Anmeldedaten abgesehen hatten, wobei die Zielpersonen mit dringend klingenden Formulierungen wie «Aktion innerhalb 72 Stunden ausführen» unter Druck gesetzt wurden.

Da QR-Codes von automatischen Sicherheitssystemen schwerer zu erkennen sind, ist Wachsamkeit oft der allererste Abwehrfilter. Fällt nur ein einziger Mitarbeiter auf einen derartigen Betrug herein, kann dies für das Unternehmen zu erheblichen finanziellen Verlusten und Rufschäden führen.

 

Wie kann ich mich vor Quishing schützen?

  • Lassen Sie gesundes Misstrauen walten: Begegnen Sie E-Mails immer kritisch, insbesondere, wenn sie QR-Codes enthalten.
  • Der Teufel steckt im Detail: Nehmen Sie die E-Mail-Adresse des Absenders genau unter die Lupe. Auch wenn sich Betrüger immer einen seriösen Anstrich geben – Ihre E-Mail-Adresse enthält oftmals willkürliche Zeichenfolgen oder ungewöhnliche Domain-Namen.
  • Grammatik: Echte Nachrichten sind in der Regel sprachlich fehlerfrei. Achten Sie auf Rechtschreibfehler, seltsame Zeichensetzung und holprige Formulierungen.
  • Handlungsdruck: Scammer erzeugen häufig den Eindruck erhöhter Dringlichkeit, um bei der Zielperson ein unüberlegtes Handeln auszulösen. Setzen Sie sich direkt mit dem Unternehmen in Verbindung, wenn Sie Zweifel an der Echtheit der Nachricht haben.
  • Gehen Sie sorgsam mit Ihren Daten um: Werden in einer E-Mail oder über einen QR-Code zu detaillierte persönliche Informationen abgefragt, ist Misstrauen angebracht.
  • Halten Sie Ihr Gerät auf dem neusten Stand: Mit regelmässigen Updates erhalten Sie aktuelle Sicherheitsfunktionen, die das Risiko mindern, bösartigen Angriffen zum Opfer zu fallen.