Quick Response (QR)-Codes sind längst ein selbstverständlicher Bestandteil unseres digitalen Alltags. Hinter QR-Codes verbergen sich etwa Speisekarten von Restaurants oder Informationen über Sehenswürdigkeiten. Doch auch bei der Nutzung von QR-Codes ist Vorsicht geboten: Cyberkriminelle setzten sie mitunter für Phishing-Angriffe ein, sowohl in E-Mails und in der Briefpost als auch an öffentlichen Orten wie E-Ladesäulen. So etwas nennt man „Quishing“.
Virenscanner erkennen keine QR-Codes
„Quishing“ ist ein Kofferwort aus „QR“ und „Phishing“. Darunter versteht man das Phishing mit QR-Codes. Die Cyberkriminellen nutzen eine Schwäche von IT-Sicherheitslösungen aus. Diese scannen E-Mails zwar stets auf verdächtige Anhänge und URLs. Ein QR-Code, der in eine E-Mail eingebunden ist, wird von ihnen jedoch nur als Bild erkannt und deshalb sehen die Sicherheitsprogramme in einem QR-Code kein Risiko. Die Phishing-Nachrichten mit QR-Codes laufen also „unter dem Sicherheitsradar“ der Anti-Viren-Programme und gelangen unbeanstandet in die E-Mail-Postfächer der Nutzer, an deren Daten die Cyberkriminellen interessiert sind. Sie nutzen das Quishing beispielsweise dazu, um ihre Opfer auf eine gefälschte Website ihrer Hausbank zu locken, wo sie sich dann mit ihrem Passwort und der PIN-Nummer für das Onlinebanking anmelden und dies per TAN-Bestätigung von ihrem Smartphone aus autorisieren. Diese Daten werden dann von den Cyberkriminellen gestohlen, um im Anschluss die Konten ihrer Opfer zu plündern. Solche Fälle sind bislang in Bezug auf die Commerzbank und die Deutsche Bank bekannt geworden.
Quishing ist plattformübergreifend
Quishing-Angriffe nutzen auch die Tatsache aus, dass wir immer mehr Sicherheitsabfragen auf unseren digitalen Endgeräten gewohnt sind, die miteinander verknüpft werden. Es wird somit immer gebräuchlicher, verschiedene Plattformen oder Geräte zu kombinieren (wie Computer und Smartphone), wenn wir etwa Banküberweisungen freigeben. Deshalb sind Nutzer auch nicht überrascht, wenn sie plötzlich in der Mail aufgefordert werden, den QR-Code mit dem Handy zu scannen und damit die eine Plattform, etwa den Computer, zu verlassen.
So gehen die Cyberkriminellen vor
In der Briefpost-Variante des Quishings geht es angeblich um die regelmäßige Überprüfung der Identität eines Bankkunden aufgrund von EU-Vorschriften. Um dies so einfach wie möglich zu gestalten, soll man den auf dem Anschreiben abgebildeten QR-Code einscannen. Beim Online-Quishing wird in der Betreffzeile der E-Mails zum Beispiel auf ein Sicherheitsproblem hingewiesen, bei dem die Nutzer aktiv werden müssten. Ob per Briefpost oder E-Mail: Das Ziel der Betrüger ist immer, dass die Nutzer den QR-Code auf ihrem Smartphone einscannen. Dies leitet die Nutzer nun auf eine gefälschte Website weiter. Die Smartphones erkennen in der Regel nicht, dass die angesteuerte Website gefälscht ist, und lassen diese Weiterleitung zu. „Hier können unterschiedliche Dinge passieren. Entweder laden Nutzer Dokumente herunter, die mit Malware verseucht sind, oder sie geben Login-Daten ein, die direkt an die Betrüger weitergeleitet werden“, erläuterte Patrycja Schrenk, Geschäftsführerin der PSW GROUP, gegenüber dem IT-Sicherheitsmagazin <kes>. Die erbeuteten Zugangsdaten der Nutzer können von den Cyberkriminellen nun dafür missbraucht werden, um Einkäufe auf Online-Plattformen im Namen der ahnungslosen Nutzer zu tätigen oder um Zugang zu geschützten Firmennetzwerken zu erlangen. Bei einer noch relativ neuen Variante des Quishings manipulieren Betrüger Parkautomaten und öffentliche E-Ladesäulen, indem sie bereits vorhandene QR-Code-Aufkleber mit eigenen gefälschten Codes überkleben. Scannen ahnungslose Autofahrerinnen und Autofahrer den Fake-Code, führt dieser sie auf eine nachgemachte Webseite des Parkautomaten- bzw. Ladesäulenbetreibers. Dort hinterlassen die Kundinnen und Kunden ihre Kontodaten, mit denen die Betrüger dann versuchen, Geld abzubuchen. Besonders perfide ist die Masche, bei der nach dem Eintippen der Bezahldaten eine Störung gemeldet wird. Erst im zweiten Anlauf gelangen die Opfer zur richtigen Webseite des Betreibers und vergessen den ersten Fehlversuch.
Beim Quishing werden verschiedene Geräte miteinander verbunden
sepy/stock.adobe.com
Tipps, um nicht auf Quishing hereinzufallen
Die IT-Sicherheitsexpertin Patrycja Schrenk hat vier praktische Tipps, die es den Cyberkriminellen schwerer machen, private Nutzer mit Quishing hinters Licht zu führen:
- Prüfen Sie sorgfältig, ob es sich bei der Mail oder dem Brief um eine Fälschung handeln könnte. Kontaktieren Sie den vermeintlichen Absender über offizielle Kanäle, um sich zu vergewissern, ob die Nachricht tatsächlich von diesem Absender stammt.
- Nutzen Sie eine Multi-Faktor-Authentifizierung. Sie ist ein wirksamer Schutz vor allen Formen des Phishings. Selbst wenn Kriminelle ihre Zugangsdaten in Erfahrung bringen, fehlt ihnen dann der zweite oder dritte Faktor zum erfolgreichen Einloggen unter Ihrem Namen.
Sie hat auch zwei Tipps speziell für Unternehmen:
- Die Sicherheitsrichtlinie eines Unternehmens sollte zwingend auch Smartphones einschließen. Oftmals existieren für Rechner und Notebooks recht strenge Sicherheitsvorkehrungen, aber kaum für Firmentelefone. Hier muss umgedacht werden.
- Der beste Schutz vor Quishing ist die Weiterbildung aller Beschäftigten. Denn nur wenn Gefahren bekannt sind und erkannt werden, können Mitarbeitende entsprechend handeln.
Autofahrerinnen und Autofahrer sollten QR-Code-Aufkleber an Ladesäulen und Parkautomaten genau ansehen und prüfen, ob diese möglicherweise einen anderen Code überkleben. Falls es einen zusätzlichen QR-Code im Display gibt, sollte man immer diesen anstelle des Aufklebers scannen. Besondere Vorsicht ist geboten, wenn auf der Anzeige ein hoher Betrag erscheint, der gezahlt werden soll oder die Webseite des Betreibers einen unseriösen Eindruck macht.
In Bezug auf die Briefpost-Variante des Quishings empfiehlt das Landeskriminalamt Niedersachsen:
- Wer einen solchen Brief erhält, sollte sicherheitshalber den persönlichen Bankberater anrufen und den Sachverhalt offiziell abklären.
- Die Empfänger eines solchen Briefs sollten bei der örtlichen Polizei oder über eine Onlinewache eine Anzeige erstatten und dabei das eingescannte oder abfotografierte Täterschreiben übermitteln.
- Wer auf die Masche hereingefallen ist, sollte unverzüglich sein Kreditinstitut informieren und den Zugang sperren lassen. Hierfür kann auch der Sperrnotruf genutzt werden.
WL 03.09.2024)
