Was ist Quishing? QR-Code-Phishing-Angriffe erkennen und vermeiden

QR-Codes (Quick Response Codes) sind zu einem allgegenwärtigen Bestandteil unseres digitalen Lebens geworden und bieten eine schnelle und bequeme Möglichkeit, auf Informationen zuzugreifen.

Es funktioniert folgendermaßen: Sie halten Ihr Handy einfach über die zweidimensionalen Barcodes, klicken auf den generierten Link und schon landen Sie auf der verbundenen Webseite.

Diese Technologie hat sich jedoch zu einer neuen Waffe im Arsenal der Cyberkriminellen entwickelt. Quishing, QR-Code-Phishing, wird verstärkt eingesetzt, und es ist wichtig, diese wachsende Bedrohung zu verstehen, wenn Sie sich und Ihre Abonnenten schützen wollen.

Falls Sie den Begriff noch nicht kennen:Phishing ist eine Art von Social-Engineering-Cyberkriminalität, bei der Hacker versuchen, Sie dazu zu bringen, vertrauliche Daten online preiszugeben.

Sie geben sich als jemand aus, den Sie kennen oder dem Sie vertrauen, z. B. eine Bank oder ein anerkanntes Unternehmen, und wenden sich per E-Mail (E-Mail-Spoofing) oder per Textnachricht/SMS (Smishing) an Sie. Diese Nachrichten versuchen oft, Ihnen Angst zu machen, Sie unter Druck zu setzen oder Sie mit Versprechungen von Geld oder Preisen zu begeistern.

Wenn Sie auf den Link klicken oder den Anhang der Nachricht öffnen, gelangen Sie wahrscheinlich auf eine gefälschte Website oder laden versehentlich Malware herunter. Das Ziel? Ihre Passwörter, Kreditkartennummern oder andere wichtige Informationen zu stehlen.

Schützen Sie Ihre Bankdaten, sowie personenbezogene Daten (geben Sie bspw. Weder Ihre E-Mail-Adresse noch Ihre Telefonnummer über eBay heraus) und schauen Sie auf die URL, bevor Sie sich einloggen.

Kreative Betrugsversuche: Ein Beispiel für einen E-Mail-Spoofing-Angriff, bei dem Cyberkriminelle ahnungslose Empfänger auf diese Phishing-Website geschickt haben, die die echte Anmeldeseite von PayPal imitiert. Die URL sieht allerdings ein wenig „gefälscht“ aus, oder?

Quishing ist eine weitere Art von Phishing-Angriff mit einer ausgefallenen neuen Variante. Anstatt auf einen Link in einer E-Mail zu klicken, werden Sie dazu verleitet, QR-Codes zu scannen. Wenn Sie diesen Code scannen, gelangen Sie auf eine gefälschte Website, die Ihre persönlichen Kontaktinformationen stehlen soll.

Da QR-Codes bisher relativ harmlos waren (sie werden zum Öffnen der Speisekarte in der Kneipe verwendet, nicht wahr?), sind viele Menschen anfällig für Quishing-Angriffe geworden.

Wenn Sie also das nächste Mal einen QR-Code in einer E-Mail sehen, überlegen Sie zweimal, bevor Sie ihn mit Ihrem Handy scannen. Schauen Sie genau hin, ob diese Nachricht wirklich von vertrauenswürdigen Quellen kommt.

Das Ziel ist es sensible Daten durch solche QR-Phishing-Attacken zu bekommen. Hier ein kurzer Überblick darüber, wie Cyberkriminelle Cyberangriffe mit QR-Codes einrichten:

1. Erstellung eines bösartigen QR-Codes: Der Angreifer erstellt einen QR-Code, der, wenn er gescannt wird, in der Regel zu einer bösartigen Website führt, die dazu dient, Zugangsdaten zu stehlen, Malware herunterzuladen oder persönliche Daten zu sammeln.
2. Verteilung des QR-Codes: Der QR-Code wird dann auf verschiedenen Wegen verteilt, z. B. per E-Mail, SMS, über soziale Medien, Plakate oder Flugblätter.
3. Verlockung der Opfer: Der Angreifer lockt dann ein ahnungsloses Opfer an, welches den QR-Code mit Versprechungen von Rabatten, einem Gewinnspiel, kostenlosen Artikeln, dringenden Benachrichtigungen oder Verifizierungsanfragen scannt.
4. Beginn des Angriffs: Sobald der QR-Code gescannt wird, wird das Opfer auf eine Phishing-Website geleitet, die legitim aussehen kann und sensible Informationen wie Anmeldedaten, Kreditkartennummern oder persönliche Identifikationsdaten abfragt. Alternativ kann der QR-Code auch den Download von Schadsoftware darauf das Gerät des Opfers auslösen.
5. Datendiebstahl oder Gerätekompromittierung: Wenn das Opfer seine Daten auf der Phishing-Website eingibt, sammelt der Angreifer diese Daten und kann sie für Identitätsdiebstahl, Finanzbetrug oder weitere Angriffe nutzen. Wenn Malware heruntergeladen wird, erhält der Angreifer Zugriff auf das Gerät des Opfers, was zu Datenverletzungen oder weiteren Angriffen führen kann.
6. Verwendung: Die gestohlenen Informationen werden dann für verschiedene böswillige Zwecke verwendet, z. B. für nicht autorisierte Transaktionen, Identitätsdiebstahl oder den Verkauf im Dark Web.

Die gute Nachricht ist, dass es Möglichkeiten gibt, diese neuen, fortschrittlichen Phishing-Angriffe zu bekämpfen und hoffentlich den Ruf unseres armen alten QR-Codes wiederherzustellen. Die naheliegendste ist natürlich, QR-Codes, die Sie per E-Mail erhalten, nicht zu scannen (insbesondere von Quellen, die Sie nicht kennen). Hand aufs Herz: Wann haben Sie das letzte Mal einen seriösen QR-Code per E-Mail erhalten?

Außerdem müssen Sie Ihre Daten (und den Ruf Ihres Unternehmens) schützen. Im Folgenden finden Sie einige bewährte Verfahren, die Sie befolgen sollten:

Der beste Weg, Ihre Marke vor Quishing-Angriffen zu schützen, ist die Implementierung von E-Mail-Authentifizierungsprotokollen. Diese Protokolle arbeiten zusammen, um die Authentizität von E-Mail-Absendern zu überprüfen und sicherzustellen, dass die Nachrichten von legitimen Quellen stammen. Dadurch wird verhindert, dass Cyberkriminelle die E-Mail-Adresse Ihres Unternehmens fälschen, um bösartige Inhalte wie Phishing-Links oder QR-Codes, die zu betrügerischen Websites führen, zu verbreiten.

Die drei wichtigsten E-Mail-Authentifizierungsprotokolle sind:

• SPF (Sender Policy Framework)
• DKIM (DomainKeys Identified Mail)
• DMARC (Domain-based Message Authentication, Reporting, and Conformance)

2FA ist eine weitere robuste Sicherheitsmaßnahme, die den Schutz Ihrer Marke vor QR-Code-Phishing-Angriffen erheblich verbessert. Im Wesentlichen funktioniert sie, indem sie eine zusätzliche Verifizierungsebene über ein einfaches Passwort hinaus verlangt (Zwei-Faktor), wodurch es für Bedrohungsakteure exponentiell schwieriger wird, unbefugten Zugang zu sensiblen Informationen zu erhalten.

Selbst wenn es einem Cyberkriminellen gelingt, das Passwort eines Kollegen in Erfahrung zu bringen, kann er ohne Multi-Faktor-Authentifizierung (in der Regel ein Code, der an ein vertrauenswürdiges Gerät gesendet wird) nicht auf dieses Konto zugreifen. Dadurch werden unberechtigte Anmeldungen wirksam verhindert und Ihre Kundendaten geschützt.

Es gibt einige verräterische Anzeichen dafür, dass eine E-Mail nicht legitim ist, auf die Sie Ihr Team hinweisen können. Sind Sie und Ihre Mitarbeiter nicht informiert, ist dies ein Sicherheitsproblem. Wenn Sie zum Beispiel einen verdächtigen Link untersuchen, der von einem QR-Code generiert wurde, sollten Sie immer die URL überprüfen.

Enthält sie einen Rechtschreibfehler? Gibt es grammatikalische Fehler oder seltsame Abstände? Sieht sie wie eine legitime URL eines bekannten Unternehmens aus?

Auch wenn die E-Mail Sie zum sofortigen Handeln auffordert oder mit Spam-Wörtern übersät ist, könnte dies ein Zeichen für einen böswilligen Versuch sein, Daten zu stehlen. Auch hier sollten Sie Ihr Team schulen, wachsam zu sein, bevor Sie mit verdächtigen E-Mails interagieren.

Wie der Name schon sagt, können Antivirenprogramme bösartige Links, Anhänge und Downloads erkennen und blockieren, die häufig zur Verbreitung von Phishing-Betrügereien verwendet werden. Für den unglücklichen Fall, dass ein Kollege Opfer eines Angriffs wird, fungieren Antivirenprogramme also als zweite Verteidigungslinie und verhindern den unbefugten Zugriff auf sensible Informationen.

Außerdem hilft Antivirensoftware dabei, die Verbreitung von Malware oder Ransomware einzudämmen, wenn das Gerät eines Teammitglieds nach einem Quishing-Angriff infiziert wird. Auch hierdurch wird das Risiko von Datenschutzverletzungen minimiert.

Wir versuchen uns immer zu sagen: „Das wird mir nicht passieren„… Wir wollen Ihren Optimismus nicht schmälern, aber es ist besser, auf das Beste zu hoffen und für das Schlimmste zu planen. Fragen Sie einfach das chinesische Finanzministerium…

Im November 2022 wurde die chinesische Regierung Opfer eines groß angelegten E-Mail-Spoofing-Angriffs. Angreifer, die sich als Regierung ausgaben, verschickten eine Massen-E-Mail mit einem Microsoft Word-Dokument als Anhang:

Der Text lautet auf Englisch: „Bitte klicken Sie auf den Anhang, um die Mitteilung des Finanzministeriums über die Beantragung von Lohnkostenzuschüssen für das vierte Quartal 2022 einzusehen!“

In dem Dokument wird behauptet, die Empfänger hätten Anspruch auf einen staatlichen Zuschuss. Die Angreifer schlagen vor, dass die Leute schnell handeln müssen, um weiterhin Anspruch auf das Geld zu haben, und zitieren verschiedene Institutionen und Sicherheitszahlen, um den Betrug weiter zu legitimieren.

Beachten Sie, dass die E-Mail alle Merkmale einer klassischen Phishing-E-Mail aufweist: Dringlichkeit, finanzielle Belohnung und Autorität.

Um das Geld zu erhalten, werden die Empfänger aufgefordert, das Word-Dokument zu öffnen und einen eingebetteten QR-Code zu scannen:

Beachten Sie, wie sehr der QR-Code dem offiziellen Emblem der Volksrepublik China ähnelt, um den Betrug zu legitimieren

Der QR-Code leitet die Opfer auf eine Website weiter, auf der die Behauptungen aus dem Word-Dokument bestätigt werden. Nach Anklicken eines CTA können die Opfer ihren Antrag auf Finanzhilfe stellen. Um das Geld zu erhalten, müssen Sie natürlich Ihre Kontodaten eingeben. So werden die Nutzerdaten über den betrügerischen QR-Code eingesammelt:

Indem sie die Benutzer dazu bringen, auf ein mobiles Gerät umzusteigen, umgehen die Angreifer potenziell viele der Sicherheitsmaßnahmen, die auf einem herkömmlichen, vom Unternehmen bereitgestellten Laptop eingestellt sind.

Die Angreifer haben nun alle Informationen, die sie benötigen, um im Namen des Opfers betrügerische Transaktionen durchzuführen.

Bei Sinch ist die E-Mail-Authentifizierung das Herzstück unseres Produktangebots für alle unsere E-Mail-Lösungen. Wir sind ständig bestrebt, den Absendern die Tools und Ratschläge an die Hand zu geben, die sie benötigen, um das Vertrauen ihrer Zielgruppe zu gewinnen, den Ruf ihrer Marke zu schützen und die Sicherheit ihrer E-Mails zu erhöhen.

Autor: Dale Hart Content Manager bei Sinch Mailjet