Vorsicht, Quishing!
Diese Phishing-Variante arbeitet mit Fotos statt Links
QR-Codes haben eine starke Verbreitung gefunden
© F/stock.adobe.com
Quick Response (QR)-Codes sind längst ein selbstverständlicher Bestandteil unseres digitalen Alltags. Hinter QR-Codes verbergen sich etwa Speisekarten von Restaurants oder Informationen über Sehenswürdigkeiten. Doch auch bei der Nutzung von QR-Codes ist Vorsicht geboten: Cyberkriminelle setzten sie mitunter für Phishing-Angriffe ein, sowohl in E-Mails als auch in der Briefpost. So etwas nennt man „Quishing“.
Virenscanner erkennen keine QR-Codes
„Quishing“ ist ein Kofferwort aus „QR“ und „Phishing“. Darunter versteht man das Phishing mit QR-Codes. Die Cyberkriminellen nutzen eine Schwäche von IT-Sicherheitslösungen aus. Diese scannen E-Mails zwar stets auf verdächtige Anhänge und URLs. Ein QR-Code, der in eine E-Mail eingebunden ist, wird von ihnen jedoch nur als Bild erkannt und deshalb sehen die Sicherheitsprogramme in einem QR-Code kein Risiko. Die Phishing-Nachrichten mit QR-Codes laufen also „unter dem Sicherheitsradar“ der Anti-Viren-Programme und gelangen unbeanstandet in die E-Mail-Postfächer der Nutzer, an deren Daten die Cyberkriminellen interessiert sind. Sie nutzen das Quishing beispielsweise dazu, um ihre Opfer auf eine gefälschte Website ihrer Hausbank zu locken, wo sie sich dann mit ihrem Passwort und der PIN-Nummer für das Onlinebanking anmelden und dies per TAN-Bestätigung von ihrem Smartphone aus autorisieren. Diese Daten werden dann von den Cyberkriminellen gestohlen, um im Anschluss die Konten ihrer Opfer zu plündern. Solche Fälle sind bislang in Bezug auf die Commerzbank und die Deutsche Bank bekannt geworden.
Quishing ist plattformübergreifend
Quishing-Angriffe nutzen auch die Tatsache aus, dass wir immer mehr Sicherheitsabfragen auf unseren digitalen Endgeräten gewohnt sind, die miteinander verknüpft werden. Es wird somit immer gebräuchlicher, verschiedene Plattformen oder Geräte zu kombinieren (wie Computer und Smartphone), wenn wir etwa Banküberweisungen freigeben. Deshalb sind Nutzer auch nicht überrascht, wenn sie plötzlich in der Mail aufgefordert werden, den QR-Code mit dem Handy zu scannen und damit die eine Plattform, etwa den Computer, zu verlassen.
So gehen die Cyberkriminellen vor
In der Briefpost-Variante des Quishings geht es angeblich um die regelmäßige Überprüfung der Identität eines Bankkunden aufgrund von EU-Vorschriften. Um dies so einfach wie möglich zu gestalten, soll man den auf dem Anschreiben abgebildeten QR-Code einscannen. Beim Online-Quishing wird in der Betreffzeile der E-Mails zum Beispiel auf ein Sicherheitsproblem hingewiesen, bei dem die Nutzer aktiv werden müssten. Ob per Briefpost oder E-Mail: Das Ziel der Betrüger ist immer, dass die Nutzer den QR-Code auf ihrem Smartphone einscannen. Dies leitet die Nutzer nun auf eine gefälschte Website weiter. Die Smartphones erkennen in der Regel nicht, dass die angesteuerte Website gefälscht ist, und lassen diese Weiterleitung zu. „Hier können unterschiedliche Dinge passieren. Entweder laden Nutzer Dokumente herunter, die mit Malware verseucht sind, oder sie geben Login-Daten ein, die direkt an die Betrüger weitergeleitet werden“, erläuterte Patrycja Schrenk, Geschäftsführerin der PSW GROUP, gegenüber dem IT-Sicherheitsmagazin <kes>. Die erbeuteten Zugangsdaten der Nutzer können von den Cyberkriminellen nun dafür missbraucht werden, um Einkäufe auf Online-Plattformen im Namen der ahnungslosen Nutzer zu tätigen oder um Zugang zu geschützten Firmennetzwerken zu erlangen.
Tipps, um nicht auf Quishing hereinzufallen
Die IT-Sicherheitsexpertin Patrycja Schrenk hat vier praktische Tipps, die es den Cyberkriminellen schwerer machen, private Nutzer mit Quishing hinters Licht zu führen:
- Prüfen Sie sorgfältig, ob es sich bei der Mail oder dem Brief um eine Fälschung handeln könnte. Öffnen Sie bei verdächtigen Nachrichten keine Anhänge, klicken Sie auf keine Links und scannen Sie keine QR-Codes ein. Kontaktieren Sie den vermeintlichen Absender über offizielle Kanäle, um sich zu vergewissern, ob die Nachricht tatsächlich von diesem Absender stammt.
- Nutzen Sie eine Multi-Faktor-Authentifizierung. Sie ist ein wirksamer Schutz vor allen Formen des Phishings. Selbst wenn Kriminelle ihre Zugangsdaten in Erfahrung bringen, fehlt ihnen dann der zweite oder dritte Faktor zum erfolgreichen Einloggen unter Ihrem Namen.
Sie hat auch zwei Tipps speziell für Unternehmen:
- Die Sicherheitsrichtlinie eines Unternehmens sollte zwingend auch Smartphones einschließen. Oftmals existieren für Rechner und Notebooks recht strenge Sicherheitsvorkehrungen, aber kaum für Firmentelefone. Hier muss umgedacht werden.
- Der beste Schutz vor Quishing ist die Weiterbildung aller Beschäftigten. Denn nur wenn Gefahren bekannt sind und erkannt werden, können Mitarbeitende entsprechend handeln.
In Bezug auf die Briefpost-Variante des Quishings empfiehlt das Landeskriminalamt Niedersachsen:
- Wer einen solchen Brief erhält, sollte sicherheitshalber den persönlichen Bankberater anrufen und den Sachverhalt offiziell abklären.
- Die Empfänger eines solchen Briefs sollten bei der örtlichen Polizei oder über eine Onlinewache eine Anzeige erstatten und dabei das eingescannte oder abfotografierte Täterschreiben übermitteln.
- Wer auf die Masche hereingefallen ist, sollte unverzüglich sein Kreditinstitut informieren und den Zugang sperren lassen. Hierfür kann auch der Sperrnotruf genutzt werden.
WL 03.09.2024)
Kurztipps
Darauf sollten Sie achten, um Angriffen auf Ihren Computer mit...
Darauf sollten Sie achten, wenn Sie Ihren Rechner und Ihre...
Das sollten Sie beachten, um bei der Wohnungssuche im Internet...
Das sollten Sie beachten, um Ihre Daten sicher in Cloud-Diensten zu...
Darauf sollten sie achten, wenn der Unterricht Ihrer Kinder zuhause...
Darauf sollten Sie achten, wenn Sie Ihre Kinder oder Schüler vor...
Darauf sollten Sie achten, wenn Sie im Urlaub mobile Geräte nutzen.
Darauf sollten Sie achten, wenn Sie einen abgeschlossenen...
Darauf sollten Sie achten, wenn Sie online bezahlen möchten.
Darauf sollten Sie achten, wenn Sie von zuhause arbeiten.
Darauf sollten Sie achten, wenn Sie von Spam-Mails in Ihrem...
Darauf sollten Sie bei der Partnersuche im Netz achten.
Diese Tipps helfen Ihnen, Social-Media-Kanäle sicher zu nutzen.
So verhindern Sie, dass der Einkauf nicht mit Frust endet.
Darauf sollten Sie bei der Passworterstellung achten.
Darauf sollten Sie achten, wenn Sie Arzneimittel online bestellen.
Das sollten Sie beachten, wenn Sie Apps herunterladen und nutzen.
So schützen Sie Ihren PC vor Viren, Trojaner und „Phishing“
So schützen Sie Ihr Smartphone und Ihre Daten vor Hackern und Betrug.
Worauf Sie beim Einkauf im Internet achten sollten
Weitere Infos zum Thema Internet und Mobil
Ein Gespräch mit der Bundesdatenschutzbeauftragen
Durch die Digitalisierung wachsen die Anforderungen an den...[mehr erfahren]
Cloud Computing – ersehnter Heilsbringer oder gefährlicher Trend?
Im Internetzeitalter und im Zuge der Digitalen Revolution wird es...[mehr erfahren]
Polizei Hessen in der Testphase
Im Jahr 2016 hatte sich die Polizei Mittelhessen einen besonderen...[mehr erfahren]
Shoppen und Banken von Zuhause - aber sicher!
Keine Parkplatzprobleme, eine freie Zeiteinteilung, keine...[mehr erfahren]
Du wirst gemobbt? Dann wehr dich dagegen!
Du wirst gemobbt? Dann wehr dich dagegen! Mobbing übers Netz ist...[mehr erfahren]
Aktivitäten
Service
Präventionsvideos
"Ein Bild sagt mehr als tausend Worte". Und gerade mit bewegten Bildern werden wir alle viel leichter erreicht als mit nüchternen Informationsmaterialien, die nur den Verstand ansprechen. Hier finden Sie die Präventionsvideos.
Schützen Sie Ihre Immobilie gegen Einbruch!
Erklärung einschlägiger Präventions-Begriffe
Beliebte Artikel zum Thema Internet / Mobil
Regeln zu Bild- und Videorechten
Immer öfter werden Polizisten bei der Ausübung ihres Berufes gefilmt...[mehr erfahren]
Sie können gegen Internetkriminelle vorgehen
Phishing, Online-Spionage & Co. – Internetkriminelle verfügen über...[mehr erfahren]
Vorsicht bei billigen Angeboten
Immer wieder fallen Käufer auf so genannte „Fake-Shops“ bei Amazon...[mehr erfahren]