Blog | Pradeo

Quishing: Wenn ein QR-Code zur Falle wird

Geschrieben von Caroline Borriello | 06.12.2023 17:21:09

Die Bedrohungslandschaft entwickelt sich täglich weiter. Das jüngste Phänomen, das Quishing, nutzt QR-Codes aus, um die Zielpersonen zu täuschen. Diese weit verbreiteten Codes sind eine einfache und effektive Möglichkeit, die physische und die digitale Welt miteinander zu verbinden. Sie werden auf Verpackungen, Plakaten und sogar Visitenkarten verwendet, um das Publikum auf einfache Weise auf eine Website zu leiten. Dieses praktische, demokratisierte Instrument wird von Cyberkriminellen missbraucht und stellt eine neue Bedrohung für die Nutzer dar. Aber was genau ist Quishing?

Der Begriff "Quishing" setzt sich aus den Worten "QR" (für Quick Response) und "Phishing" zusammen. Während das klassische Phishing hauptsächlich Links oder E-Mail-Anhänge nutzt, um seine Opfer zu täuschen, verwendet Quishing QR-Codes. 
Quishing verfolgt die gleichen bösartigen Absichten wie Phishing- oder Smishing-Nachrichten. Es zielt darauf ab, Personen dazu zu verleiten, sensible Informationen wie Anmeldedaten, Finanzdaten oder andere persönliche Angaben preiszugeben.

 

Was gibt es Neues in der Welt der Phishing-Angriffe? 

Phishing ist eine Betrugsmethode, die in der Regel mit einer E-Mail beginnt. Die E-Mail scheint von einer legitimen Quelle zu stammen und enthält oft eine verlockende Aufforderung. Das Opfer wird dazu verleitet, auf einen Link in der E-Mail zu klicken, und wird dann auf eine gefälschte Website umgeleitet, die ein legitimes Finanzinstitut, einen Online-Dienst oder eine andere Einrichtung perfekt imitieren kann. Diese betrügerische Website ist speziell darauf ausgelegt, sensible Informationen wie Anmeldeinformationen, Finanzdaten oder persönliche Daten zu sammeln. Smishing verfolgt einen identischen Ansatz, setzt aber auf eine SMS statt auf eine E-Mail. Beim Quishing bleibt das Ziel dasselbe, aber diesmal ist der bösartige Link hinter einem QR-Code versteckt. Dieser Code kann per E-Mail verschickt oder sogar physisch auf einen vorhandenen QR-Code in Geschäften, Banken oder sogar auf Parkplätzen geklebt werden.

 

Eine Falle, die schwer zu erkennen ist

Quishing ist gefährlicher als herkömmliches Phishing, weil es schwieriger zu erkennen ist. 
Zunächst einmal sind Phishing- und Smishing-Angriffe den Benutzern besser bekannt und können teilweise durch E-Mail-Spamfilter vereitelt werden. Sie werden jedoch immer raffinierter und stützen sich auf generative künstliche Intelligenz, um die Quelle, als die sie sich ausgeben, so gut wie möglich zu imitieren. Die Benutzer müssen den Absender (E-Mail, Name usw.) und den bösartigen Link genau kennen, um diese Versuche des Datendiebstahls zu vereiteln. 
Quishing hingegen ist noch relativ unbekannt. Darüber hinaus erhöht das Vertrauen in QR-Codes, insbesondere auf physischen Oberflächen wie Geschäften oder Parkplätzen, das Risiko.
Nicht zuletzt sind QR-Codes so konzipiert, dass sie mit einem Mobiltelefon gescannt werden können, wobei sich der betrügerische Link direkt auf dem Bildschirm öffnet. Im Gegensatz zu einer Computerschnittstelle sind Links auf Mobiltelefonen oft weniger sichtbar, so dass es schwieriger ist, bösartige Seiten zu erkennen. Dieses Hauptmerkmal des Quishings erhöht das Risiko für die Nutzer erheblich.

 

Bewährte Praktiken

Mit diesen Tipps können Sie vermeiden, auf den Quishing-Betrug hereinzufallen:

  1. Hüten Sie sich vor zusätzlichen Aufklebern mit einem QR-Code.
  2. Scannen Sie im Zweifelsfall nicht den QR-Code, sondern gehen Sie selbst auf die offizielle Website.
  3. Wenn Sie sich entscheiden, den QR-Code zu scannen, vergewissern Sie sich immer, dass die Adresse der Website, zu der Sie weitergeleitet werden, offiziell ist. Schauen Sie sich die Adresse, die Rechtschreibung, die Grafiken und das Logo genau an.

 

Professioneller Schutz vor Quishing

Durch die Integration mobiler Endgeräte in ihre Umgebung oder die Erlaubnis, private Smartphones für geschäftliche Zwecke zu nutzen (BYOD), werden Unternehmen zu attraktiven Zielen für Quishing-Angriffe. Angesichts dieser wachsenden Bedrohung ist der Einsatz einer Mobile Threat Defense (MTD)-Lösung ein wirksamer Ansatz.
MTD agiert in Echtzeit und erkennt bösartige Links, bevor der Benutzer sie manipulieren oder sensible Informationen weitergeben kann. Diese Lösung bietet einen umfassenden Schutz, der nicht nur Quishing, sondern auch klassisches Phishing und Smishing (SMS-Phishing) abdeckt. Darüber hinaus erstreckt sich der Schutz der mobilen Flotte auf die Erkennung und Verhinderung von Bedrohungen durch Anwendungen (bösartig und aufdringlich), das Netzwerk (offenes WiFi, Man-In-The-Middle-Angriffe usw.) und das System (veraltetes Betriebssystem, Konfigurationsmanipulation usw.).

 


Quishing, das Ausnutzen von QR-Codes, ist eine wachsende Bedrohung. Hinter der scheinbaren Einfachheit von QR-Codes verbergen sich Angreifer, die das Vertrauen in diese allgegenwärtigen Codes ausnutzen.
Quishing ist schwieriger zu erkennen als herkömmliches Phishing und erfordert größere Wachsamkeit. Gute Praktiken wie das Misstrauen gegenüber QR-Codes und die Überprüfung von Weiterleitungen sind für den Schutz vor dieser Bedrohung von entscheidender Bedeutung.
Ein professioneller Schutz gegen Quishing erfordert den Einsatz fortschrittlicher Lösungen wie MTD (Mobile Threat Defense), das bösartige Links erkennt, bevor der Benutzer sie manipuliert. Auf diese Weise können Unternehmen und Privatpersonen ihre digitale Sicherheit angesichts dieses gefährlichen Trends bei Online-Angriffen stärken.