< Abzocke durch falsche Hotline-Nummern

Vorsicht, Quishing!

Quick Response (QR)-Codes sind längst ein selbstverständlicher Bestandteil unseres digitalen Alltags. Hinter QR-Codes verbergen sich etwa Speisekarten von Restaurants oder Informationen über Sehenswürdigkeiten. Doch auch bei der Nutzung von QR-Codes ist Vorsicht geboten: Cyberkriminelle setzten sie mitunter für Phishing-Angriffe ein, sowohl in E-Mails als auch in der Briefpost. So etwas nennt man „Quishing“.

Diese Phishing-Variante arbeitet mit Fotos statt Links


QR-Codes haben eine starke Verbreitung gefunden

© F/stock.adobe.com

 

Quick Response (QR)-Codes sind längst ein selbstverständlicher Bestandteil unseres digitalen Alltags. Hinter QR-Codes verbergen sich etwa Speisekarten von Restaurants oder Informationen über Sehenswürdigkeiten. Doch auch bei der Nutzung von QR-Codes ist Vorsicht geboten: Cyberkriminelle setzten sie mitunter für Phishing-Angriffe ein, sowohl in E-Mails als auch in der Briefpost. So etwas nennt man „Quishing“.

Virenscanner erkennen keine QR-Codes

„Quishing“ ist ein Kofferwort aus „QR“ und „Phishing“. Darunter versteht man das Phishing mit QR-Codes. Die Cyberkriminellen nutzen eine Schwäche von IT-Sicherheitslösungen aus. Diese scannen E-Mails zwar stets auf verdächtige Anhänge und URLs. Ein QR-Code, der in eine E-Mail eingebunden ist, wird von ihnen jedoch nur als Bild erkannt und deshalb sehen die Sicherheitsprogramme in einem QR-Code kein Risiko. Die Phishing-Nachrichten mit QR-Codes laufen also „unter dem Sicherheitsradar“ der Anti-Viren-Programme und gelangen unbeanstandet in die E-Mail-Postfächer der Nutzer, an deren Daten die Cyberkriminellen interessiert sind. Sie nutzen das Quishing beispielsweise dazu, um ihre Opfer auf eine gefälschte Website ihrer Hausbank zu locken, wo sie sich dann mit ihrem Passwort und der PIN-Nummer für das Onlinebanking anmelden und dies per TAN-Bestätigung von ihrem Smartphone aus autorisieren. Diese Daten werden dann von den Cyberkriminellen gestohlen, um im Anschluss die Konten ihrer Opfer zu plündern. Solche Fälle sind bislang in Bezug auf die Commerzbank und die Deutsche Bank bekannt geworden.

Quishing ist plattformübergreifend

Quishing-Angriffe nutzen auch die Tatsache aus, dass wir immer mehr Sicherheitsabfragen auf unseren digitalen Endgeräten gewohnt sind, die miteinander verknüpft werden. Es wird somit immer gebräuchlicher, verschiedene Plattformen oder Geräte zu kombinieren (wie Computer und Smartphone), wenn wir etwa Banküberweisungen freigeben. Deshalb sind Nutzer auch nicht überrascht, wenn sie plötzlich in der Mail aufgefordert werden, den QR-Code mit dem Handy zu scannen und damit die eine Plattform, etwa den Computer, zu verlassen.

So gehen die Cyberkriminellen vor

In der Briefpost-Variante des Quishings geht es angeblich um die regelmäßige Überprüfung der Identität eines Bankkunden aufgrund von EU-Vorschriften. Um dies so einfach wie möglich zu gestalten, soll man den auf dem Anschreiben abgebildeten QR-Code einscannen. Beim Online-Quishing wird in der Betreffzeile der E-Mails zum Beispiel auf ein Sicherheitsproblem hingewiesen, bei dem die Nutzer aktiv werden müssten. Ob per Briefpost oder E-Mail: Das Ziel der Betrüger ist immer, dass die Nutzer den QR-Code auf ihrem Smartphone einscannen. Dies leitet die Nutzer nun auf eine gefälschte Website weiter. Die Smartphones erkennen in der Regel nicht, dass die angesteuerte Website gefälscht ist, und lassen diese Weiterleitung zu. „Hier können unterschiedliche Dinge passieren. Entweder laden Nutzer Dokumente herunter, die mit Malware verseucht sind, oder sie geben Login-Daten ein, die direkt an die Betrüger weitergeleitet werden“, erläuterte Patrycja Schrenk, Geschäftsführerin der PSW GROUP, gegenüber dem IT-Sicherheitsmagazin <kes>. Die erbeuteten Zugangsdaten der Nutzer können von den Cyberkriminellen nun dafür missbraucht werden, um Einkäufe auf Online-Plattformen im Namen der ahnungslosen Nutzer zu tätigen oder um Zugang zu geschützten Firmennetzwerken zu erlangen.

Beim Quishing werden verschiedene Geräte miteinander verbunden

© sepy/stock.adobe.com

Tipps, um nicht auf Quishing hereinzufallen

Die IT-Sicherheitsexpertin Patrycja Schrenk hat vier praktische Tipps, die es den Cyberkriminellen schwerer machen, private Nutzer mit Quishing hinters Licht zu führen:

  1. Prüfen Sie sorgfältig, ob es sich bei der Mail oder dem Brief um eine Fälschung handeln könnte. Öffnen Sie bei verdächtigen Nachrichten keine Anhänge, klicken Sie auf keine Links und scannen Sie keine QR-Codes ein. Kontaktieren Sie den vermeintlichen Absender über offizielle Kanäle, um sich zu vergewissern, ob die Nachricht tatsächlich von diesem Absender stammt.
  2. Nutzen Sie eine Multi-Faktor-Authentifizierung. Sie ist ein wirksamer Schutz vor allen Formen des Phishings. Selbst wenn Kriminelle ihre Zugangsdaten in Erfahrung bringen, fehlt ihnen dann der zweite oder dritte Faktor zum erfolgreichen Einloggen unter Ihrem Namen.

Sie hat auch zwei Tipps speziell für Unternehmen:

  1. Die Sicherheitsrichtlinie eines Unternehmens sollte zwingend auch Smartphones einschließen. Oftmals existieren für Rechner und Notebooks recht strenge Sicherheitsvorkehrungen, aber kaum für Firmentelefone. Hier muss umgedacht werden.
  2. Der beste Schutz vor Quishing ist die Weiterbildung aller Beschäftigten. Denn nur wenn Gefahren bekannt sind und erkannt werden, können Mitarbeitende entsprechend handeln.

In Bezug auf die Briefpost-Variante des Quishings empfiehlt das Landeskriminalamt Niedersachsen:

  1. Wer einen solchen Brief erhält, sollte sicherheitshalber den persönlichen Bankberater anrufen und den Sachverhalt offiziell abklären.
  2. Die Empfänger eines solchen Briefs sollten bei der örtlichen Polizei oder über eine Onlinewache eine Anzeige erstatten und dabei das eingescannte oder abfotografierte Täterschreiben übermitteln.
  3. Wer auf die Masche hereingefallen ist, sollte unverzüglich sein Kreditinstitut informieren und den Zugang sperren lassen. Hierfür kann auch der Sperrnotruf genutzt werden.

WL 03.09.2024)

 

Kurztipps

5 Tipps für...
...den Schutz vor Erpressersoftware (Ransomware)

Darauf sollten Sie achten, um Angriffen auf Ihren Computer mit...

5 Tipps für...
...den Schutz vor Hacker-Angriffen

Darauf sollten Sie achten, wenn Sie Ihren Rechner und Ihre...

5 Tipps für...
...die Immobiliensuche im Internet

Das sollten Sie beachten, um bei der Wohnungssuche im Internet...

5 Tipps für...
...die sichere Cloud-Nutzung

Das sollten Sie beachten, um Ihre Daten sicher in Cloud-Diensten zu...

5 Tipps für...
...sicheres Homeschooling/digitales Lernen

Darauf sollten sie achten, wenn der Unterricht Ihrer Kinder zuhause...

5 Tipps für...
...ein sicheres Internet für Kinder

Darauf sollten Sie achten, wenn Sie Ihre Kinder oder Schüler vor...

5 Tipps für...
...das sichere Surfen im Urlaub

Darauf sollten Sie achten, wenn Sie im Urlaub mobile Geräte nutzen.

5 Tipps für...
...einen erfolgreichen Widerruf

Darauf sollten Sie achten, wenn Sie einen abgeschlossenen...

5 Tipps für...
...sicheres Bezahlen im Internet (Online Banking)

Darauf sollten Sie achten, wenn Sie online bezahlen möchten.

5 Tipps für...
...sicheres Arbeiten im Home Office

Darauf sollten Sie achten, wenn Sie von zuhause arbeiten.

5 Tipps für...
...den Umgang mit Spam-Mails

Darauf sollten Sie achten, wenn Sie von Spam-Mails in Ihrem...

5 Tipps für...
...sicheres Online-Dating

Darauf sollten Sie bei der Partnersuche im Netz achten.

5 Tipps für...
...den Umgang mit Sozialen Medien

Diese Tipps helfen Ihnen, Social-Media-Kanäle sicher zu nutzen.

5 Tipps für...
...den sicheren Geschenkekauf

So verhindern Sie, dass der Einkauf nicht mit Frust endet.

5 Tipps für...
...ein sicheres Passwort

Darauf sollten Sie bei der Passworterstellung achten.

5 Tipps für...
...den Medikamentenkauf im Netz

Darauf sollten Sie achten, wenn Sie Arzneimittel online bestellen.

5 Tipps für...
...die App-Nutzung

Das sollten Sie beachten, wenn Sie Apps herunterladen und nutzen.

5 Tipps für...
...einen sicheren Computer

So schützen Sie Ihren PC vor Viren, Trojaner und „Phishing“

5 Tipps für...
...ein sicheres Smartphone

So schützen Sie Ihr Smartphone und Ihre Daten vor Hackern und Betrug.

5 Tipps für...
...sicheres Online-Shopping

Worauf Sie beim Einkauf im Internet achten sollten

Weitere Infos zum Thema Internet und Mobil

Ein Gespräch mit der Bundesdatenschutzbeauftragen

Durch die Digitalisierung wachsen die Anforderungen an den...[mehr erfahren]

Cloud Computing – ersehnter Heilsbringer oder gefährlicher Trend?

Im Internetzeitalter und im Zuge der Digitalen Revolution wird es...[mehr erfahren]

Polizei Hessen in der Testphase

Im Jahr 2016 hatte sich die Polizei Mittelhessen einen besonderen...[mehr erfahren]

Shoppen und Banken von Zuhause - aber sicher!

Keine Parkplatzprobleme, eine freie Zeiteinteilung, keine...[mehr erfahren]

Hilfe bei Cybermobbing

Du wirst gemobbt? Dann wehr dich dagegen!

Du wirst gemobbt? Dann wehr dich dagegen! Mobbing übers Netz ist...[mehr erfahren]