<h4>
QR-Codes statt Links
</h4>

QR-Codes werden immer beliebter, um Zahlungen zu tätigen, auf Webseiten zuzugreifen oder Speisekarten schneller abzurufen. Doch sie werden zunehmend auch als Köder verwendet, um Benutzerdaten zu stehlen. Das Vorgehen der Cyberkriminellen beim „Quishing“ ähnelt in vielen Punkten dem herkömmlichen Phishing über Links und Anhänge: In den gefälschten Mails wird behauptet, es läge ein Sicherheitsproblem vor und man müsse nun aktiv werden. Alternativ behaupten die Betrüger, dass ihre Opfer ein Dokument benötigten, das hinter dem QR-Code versteckt sei. In jedem Fall werden die Opfer angehalten, den Code mit dem Smartphone zu scannen. Folgen sie dieser Aufforderung, werden sie auf gefälschte Websites weitergeleitet. Übliche Sicherheitslösungen scannen Anhänge und URLs in E-Mails und filtern auf diese Weise viele Phishing-Links heraus. Diese Schutzmechanismen versagen bei QR-Codes jedoch, weil die Codes als Bilder und nicht als Texte verarbeitet werden. Die erbeuteten Zugangsdaten können von den Cyberkriminellen missbraucht werden, um Einkäufe auf Online-Plattformen im Namen der ahnungslosen Nutzer zu tätigen oder um Zugang zu geschützten Firmennetzwerken zu erlangen.

<h4>
Multi-Faktor-Authentifizierung schützt
</h4>

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, E-Mails stets zu prüfen und bei Verdacht auf Phishing bzw. Quishing keine Anhänge zu öffnen, keine Links anzuklicken und keine QR-Codes zu scannen. Außerdem sollte man den vermeintlichen Absender über offizielle Kanäle kontaktieren, um sich zu vergewissern, ob die Nachricht tatsächlich von diesem Absender stammt.
Ein wirksamer Schutz vor allen Formen des Phishings ist eine Multi-Faktor-Authentifizierung. Denn selbst wenn es Kriminellen gelingt, die Zugangsdaten von Nutzern in Erfahrung zu bringen, fehlt ihnen dann der zweite oder dritte Faktor zum erfolgreichen Einloggen unter ihrem Namen.