Quishing: Online-Betrug mit QR-Codes

Neu ist diese Phishing-Methode mittels QR-Codes zwar nicht, aktuell wird aber wieder vermehrt davor gewarnt. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) macht zur Zeit auf die Thematik aufmerksam.

Denn Online-Betrüger werden nicht müde, ihr kriminelles Vorgehen immer weiter zu entwickeln, um ihre „Erfolgsaussichten“ zu optimieren.

Wie beim „normalen“ Phishing ist auch beim Quishing das Ziel der Betrüger, Nutzerdaten abzufangen, bevorzugt Zugangsdaten für Online-Konten.

Quishing-Mails enthalten aber keine verdächtigen Links oder schädlichen Anhänge, sondern eingebundene QR-Codes, die der Nutzer mit seinem Smartphone scannen soll, vorgeblich um z.B. ein drängendes Sicherheitsproblem zu lösen oder ein wichtiges Dokument zu erhalten.

Scannt man den QR-Code, erfolgt eine Weiterleitung zu einer gefälschten Webseite, auf der meist Anmeldedaten eingegeben werden sollen – die direkt bei den Betrügern landen. Aktuell stehen Nutzerdaten für den Cloud-Service Microsoft 365 hoch im Kurs. Der gescannte QR-Code führt zu einer täuschend echten Nachahmung der Log-in-Seite von Microsoft 365.

Die Verwendung von QR-Codes ist für Betrüger deshalb so vielversprechend, weil diese Codes von vielen Antivieren-Programmen nicht bzw. wesentlich seltener als gefährlich erkannt werden. Denn QR-Codes werden als Bilddateien wahrgenommen, die nicht als bedrohlich gelten.

Wie kann man sich vor Quishing schützen?

Zu den wichtigsten Empfehlungen gehören:

  • Überprüfen Sie immer (!) die Quelle des QR-Codes, auch bei bekanntem Absender. Kontaktieren Sie diesen im Zweifel und fragen nach der Richtigkeit. Möglicherweise wurden seine Daten gestohlen und Betrüger versenden den Code in seinem Namen.
  • Scannen Sie keine QR-Codes von unbekannten Absendern.
  • Prüfen Sie die Umgebung des QR-Codes, z.B. auch bei Werbeflyern, Plakaten o.ä.
    Kommt Ihnen etwas verdächtig oder manipuliert vor?
  • Vorsicht auch bei kurzen Links: Zeigt der QR-Scanner beim Lesen des Codes einen verkürzten Link an, lässt sich nicht ersehen, wohin er führt.
  • Setzen Sie einen QR-Reader ein, der Sicherheitsfunktionen mitbringt.
    Wichtig: Nach dem Scannen des Codes sollte eine Vorschau des Ziels angezeigt werden OHNE es automatisch zu öffnen. Hier muss der Nutzer die Möglichkeit haben, einzugreifen und den Vorgang ggf. auch abzubrechen.

Und nicht zuletzt, denn das ist ohnehin ein wichtiger Schutz für Ihre Online-Konten:
Aktivieren Sie für Ihre Accounts wo immer möglich die Zwei-Faktor-Authentifizierung. Sollten Ihre Login-Daten doch einmal abgefangen worden sein, sind sie dann für die Betrüger nutzlos. Denn ohne den 2. Faktor, z.B. Ihr Smartphone, an das der Freigabe-Code für den betreffenden Login geschickt wird, haben die Kriminellen keinen Zugriff auf Ihren Account und Ihre Daten.

Wir empfehlen:
Gerade für sicherheitsrelevante Anwendungen, in diesem Fall QR-Scanner, lohnt es sich, sich im Bereich der OpenSource-Software umzusehen. Hier gibt es Communities, die sich im besonderen Maße dem Datenschutz verschrieben haben und Sicherheitsaspekte voranstellen. Dazu gehört z.B. SECUSO – Security Usability Society. SECUSO hat u.a. einen QR-Scanner entwickelt, der über den Google Playstore zu beziehen ist: SECUSO QR Scanner

Bild:
Unter Verwendung von
Simple Alert, Wikimedia Commons. By Tokyoship (Own work) (CC BY-SA 3.0)

Phishing, Privacy, Security, Spam