Vorsicht, Quishing: Kriminelle nutzen QR-Codes für Phishing-Attacken
von Tina Siering
Was ist Quishing und warum ist es so gefährlich?
Das Wort Quishing setzt sich aus den beiden Begriffen „QR“ (Quick Response) und „Phishing“ zusammen. Es handelt sich dabei um einen Phishing-Angriff, bei dem Sie in einer E-Mail dazu aufgefordert werden, einen QR-Code mit Ihrem Smartphone zu scannen. Kommen Sie dieser Aufforderung nach, werden Sie zu einer betrügerischen Website weitergeleitet.
Eine Quishing-E-Mail weist zahlreiche Merkmale auf, die auch von Phishing-Attacken bekannt sind. So geben Cyberkriminelle beispielsweise vor, dass aufgrund eines Sicherheitsproblems sofortiger Handlungsbedarf bestehe. In der Nachricht drohen sie zudem mit negativen Konsequenzen, die eintreten würden, falls Sie nicht umgehend aktiv werden. Auf der Zielseite wiederum sollen Sie Ihre Zugangsdaten eingeben, die dann direkt in die Hände der Betrüger wandern, oder Dokumente herunterladen, die Ihr Smartphone mit Malware kompromittieren.
Während eine herkömmliche Phishing-E-Mail den ahnungslosen Nutzer über einen Link auf die gefälschte Seite lockt, geschieht dies beim Quishing über einen als Bild eingebundenen QR-Code. Und genau das macht diese Methode so gefährlich: Sicherheitsprogramme können nämlich nur verdächtige Anhänge und URLs als mögliche Bedrohungen identifizieren, nicht jedoch Bilder. Folglich stufen Virenscanner Quishing-E-Mails als harmlos ein und verschieben sie nicht in den Spam-Ordner.
Gleichzeitig ist die Wahrscheinlichkeit, dass ein Nutzer einen betrügerischen QR-Code tatsächlich scannt, relativ hoch. Der QR-Code ist in unserer digitalen Welt weit verbreitet und gilt als praktische Lösung, um Informationen aus dem Internet unkompliziert mit dem Smartphone aufzurufen. Darüber hinaus stellt er eine smarte Möglichkeit dar, um Sicherheitsabfragen geräteübergreifend durchzuführen. So setzen etwa manche Banken QR-Codes ein, um die Freigabe für eine Überweisung per Handy einzuholen. Während der Covid-19-Pandemie wiederum konnten Gewerbetreibende den Impfstatus via QR-Code-Scan überprüfen. Wir alle sind es also bereits gewohnt, QR-Codes am Bildschirm zu scannen, und sehen sie als vertrauenswürdig an.
Quishing in der Praxis: Diese Daten sind für Betrüger besonders interessant
Hacker haben das Vertrauen in QR-Codes in jüngster Vergangenheit bereits mehrfach für ihre kriminellen Aktivitäten ausgenutzt. Besonders beliebt sind dabei Betrugsmaschen, die auf Zugangsdaten von Microsoft-Office-365-Konten abzielen. Mit diesen lassen sich nämlich häufig auch andere Konten desselben Nutzers attackieren.
So haben Betrüger beispielsweise im Oktober 2022 Quishing-E-Mails im Namen des Finanzdienstleistungsunternehmens Wells Fargo verschickt. Diese enthalten die Nachricht, dass eine Zahlung erfolgt sei, sowie einen PDF-Anhang mit dem Dateinamen „Wellsfargo_ACHCOPY.pdf“. Wer die PDF-Datei öffnet, bekommt eine verschwommene Rechnung angezeigt, über der ein QR-Code liegt. Nach dem Scannen gelangt der Nutzer zu einer manipulierten, täuschend echt wirkenden Login-Seite von Microsoft Office 365, auf der er seine Nutzerdaten eingeben soll, um die Rechnung ansehen zu können.
Und schon zuvor waren die Cloud-Anwendungen von Microsoft 365 das Ziel von Quishing-Betrugsmaschen. Ende 2021 berichteten Medien etwa von einer Kampagne, bei der Cyberkriminelle eine Phishing-URL durch einen QR-Code ersetzt hatten, um Virenscanner zu umgehen. Damals sollten die Anwender ihre Login-Daten nach dem Scan auf einer präparierten Microsoft-365-Seite eingeben, um eine Voicemail abhören zu können.
So können Sie sich vor Quishing schützen
Auch wenn E-Mail Spam- und Virenschutz Quishing-E-Mails nicht aussortieren, sind Sie den Cyberkriminellen dennoch nicht hilflos ausgeliefert. Wenn Sie sich an folgende Handlungsempfehlungen halten, können Sie Ihren Schutz vor Quishing-Angriffen deutlich erhöhen:
1. Führen Sie einen Plausibilitätscheck durch
Noch bevor Sie eine E-Mail öffnen, sollten Sie kritisch hinterfragen, ob es sich um eine Phishing-Nachricht handeln könnte. Vorsicht ist immer dann geboten, wenn Ihnen der Absender nicht bekannt ist und der Betreff für Sie keinen Sinn ergibt oder Sie unter Druck setzt. Ist dann auch noch eine Datei angehängt, sollten Sie die E-Mail sofort löschen – und zwar ohne sich die Nachricht genauer anzusehen.
2. Halten Sie Betriebssystem und Virenschutz aktuell
Sicherheitsupdates sind das A und O für einen wirksamen Schutz vor Cyberangriffen. Sorgen Sie deshalb dafür, dass Sie sowohl Ihr Betriebssystem als auch sämtliche Anwendungen immer zeitnah aktualisieren. Nutzen Sie die automatischen Update-Services und Websites der Softwarehersteller, um kein Sicherheitsupdate zu verpassen. Nur so können Sie kritische Sicherheitslücken schnell schließen.
3. Richten Sie eine Multifaktor-Authentifizierung ein
Sollten Sie doch einmal auf eine Quishing-Mail hereinfallen und Ihre Zugangsdaten gegenüber Betrügern preisgeben, dann ist das nur halb so schlimm, wenn Sie Ihr Nutzerkonto zuvor über eine Multifaktor-Authentifizierung (MFA) geschützt haben. Denn die MFA erfordert für einen erfolgreichen Login zwei oder mehrere Berechtigungsnachweise. Meist handelt es sich dabei um die Kombination aus einem Passwort und einem weiteren Anmeldefaktor, der auf einer Sicherheitsfrage, biometrischen Merkmalen oder einem physischen Objekt – etwa einem Smartphone – basiert. Ohne diese zusätzliche Authentifizierung ist Ihr Passwort für die Quishing-Betrüger nutzlos.
4. Nutzen Sie eine Lösung zur Angreiferfrüherkennung
Der Active Cyber Defense (ACD) Service von Allgeier secion überwacht alle Systeme Ihres Netzwerks – unabhängig von deren Betriebssystem, Gerätetyp und Logging-Möglichkeiten. Neben Servern und Desktops bezieht er beispielsweise auch Smartphones, IoT-, ICS-, OT-, BYOD- und Fremdgeräte in die Überwachung ein. Im Gegensatz zu Virenprogrammen identifiziert der Managed Detection and Response (MDR) Service potenzielle Angreifer unabhängig von Schadsoftware oder Signaturen. Es wird auf Netzwerkebene geprüft, ob eine potenzielle Angreifer-Kommunikation zu Command & Control Servern stattfindet und eine Kompromittierung erfolgt ist.
Da die IT Security Analysten von Allgeier secion Ihre IT-Infrastruktur rund um die Uhr überwachen, werden Verdachtsfälle unmittelbar nach einer erfolgten Kompromittierung aufgedeckt und bei Handlungsbedarf sofort an Sie gemeldet. So haben Sie genug Zeit, um gezielte Incident-Response-Maßnahmen rechtzeitig einzuleiten und einen größeren Schaden abzuwenden.
Fazit
Spätestens seit der Corona-Pandemie sind Smartphone-Nutzer aller Altersgruppen an QR-Codes gewöhnt. Das große Vertrauen, das wir den kleinen Quadraten schenken, nutzen Hacker für ihre kriminellen Zwecke aus, indem sie Phishing-Mails mit QR-Codes verschicken. Das Tückische daran: Herkömmliche Virenscanner bewerten QR-Codes nicht als Sicherheitsrisiko, sodass eine Quishing-E-Mail als nicht verdächtig eingestuft wird und in Ihrem Postfach landet.
Schützen können Sie sich dennoch, indem Sie E-Mails kritisch hinterfragen, Online-Konten per Multifaktor-Authentifizierung absichern und Sicherheitsupdates zeitnah installieren. Den effektivsten Schutz vor den potenziell schwerwiegenden Folgen einer Quishing-Attacke bietet jedoch der Active Cyber Defense (ACD) Service von Allgeier secion: Der Managed Detection and Response (MDR) Service setzt auf proaktive Angriffsfrüherkennung und bindet ausnahmslos alle Systeme und Geräte innerhalb Ihres Netzwerks in die Überwachung ein – darunter auch Smartphones. Im Ernstfall informiert Sie das ACD-Team frühzeitig und bewahrt Sie so vor Datendiebstahl und Erpressung.