Was ist QR-Phishing? Wie man QR-Code-Betrug erkennt und vermeidet

Blog

QR-Phishing (Quishing) ist eine zunehmende Bedrohung der Cybersicherheit, bei der bösartige QR-Codes Nutzer zu Phishing-Seiten oder Malware führen. Erfahren Sie, wie es funktioniert und wie Sie sich schützen können.

von Ahona Rudra

Lesezeit: 6 min
Was ist QR-Phishing? Wie man QR-Code-Betrug erkennt und vermeidet
Inhaltsverzeichnis-

Quizzenoder QR-Code Phishingist die neueste in einer langen Reihe von Bedrohungen für die Cybersicherheit. So lächerlich es auch klingen mag, es ist hilfreich, sich dessen bewusst zu sein, denn es kann den Verlust von Geld, Zeit und dem Ruf Ihres Unternehmens verhindern.

QR-Codes sind überall zu finden: auf Speisekarten, Straßenplakaten, Apps und Unternehmenswebsites. Sie sind beliebt, weil die Nutzer den QR-Code mit ihrer Kamera wie einen Weblink scannen können, um auf eine Website zu gelangen. 

Was für die Nutzer einfach ist, lässt sich auch leicht von Cyberkriminellen ausnutzen. Diese böswilligen Parteien nutzen QR-Codes, um Nutzer auf eine andere Website zu leiten als die, auf die sie zu gehen glauben, und öffnen ihre persönlichen Daten für Hacker. 

In diesem Artikel wird erläutert, wie Cyberkriminelle QR-Codes für Phishing-Angriffe ausnutzen. Er behandelt gängige Taktiken, Beispiele aus der Praxis, Präventionsstrategien und bewährte Verfahren für die Cybersicherheit.

Wichtigste Erkenntnisse

  • Beim QR-Phishing (Quishing) werden QR-Codes ausgenutzt, um Benutzer auf bösartige Websites umzuleiten, die Zugangsdaten stehlen oder Malware installieren.
  • Die Angreifer tarnen bösartige QR-Codes auf E-Mails, Plakaten, Websites und Rechnungen, um ihre Opfer zum Scannen zu verleiten.
  • Zu den üblichen Quishing-Betrügereien gehören gefälschte Anmeldeseiten, Umfragen und betrügerische QR-Codes zum Parken oder Bezahlen.
  • QR-Phishing ist schwer zu erkennen, da QR-Codes keine visuellen Erkennungsmerkmale aufweisen und die Sicherheit von Mobiltelefonen oft schwächer ist.
  • Um Angriffe zu verhindern, ist es wichtig, das Bewusstsein der Nutzer zu schärfen, Apps zum Scannen von QR-Codes zu verwenden und die Multi-Faktor-Authentifizierung (MFA) zu aktivieren.
  • Unternehmen sollten Cybersicherheitslösungen und Mitarbeiterschulungen implementieren, um QR-Phishing-Bedrohungen zu erkennen und zu entschärfen.

Was ist QR-Phishing (Quishing)?

QR-Phishing (Quishing) liegt vor, wenn Hacker QR-Codes verwenden, um Benutzer auf bösartige oder betrügerische Websites umzuleiten, anstatt auf die Website, die der Benutzer beim Scannen des Codes zu besuchen glaubt. Die Websites, auf die der Nutzer umgeleitet wird, werden von böswilligen Parteien genutzt, um Informationen von Nutzern zu stehlen, z. B. Anmeldedaten und Bankdaten, oder um böswillige Software zu installieren, um andere Informationen zu stehlen. 

Quishing-Angriffe sind schwieriger zu erkennen als herkömmliche Phishing-Angriffe, da das Kopieren von QR-Codes für bösartige Inhalte komplexer ist als das Scannen herkömmlicher URLs. Daher ist es schwieriger, Quisher zu erwischen als Phisher. 

Wie QR-Phishing-Angriffe funktionieren

Wenn Sie genau wissen, wie QR-Phishing funktioniert, wissen Sie auch, wie Sie es bekämpfen und Ihre Kunden schützen können. Lassen Sie uns zunächst einen Blick auf eine schrittweise Aufschlüsselung von Quishing und dann auf häufige Angriffsszenarien werfen, damit Sie wissen, worauf Sie achten müssen.

Schritt-für-Schritt-Aufschlüsselung von QR-Phishing-Angriffen

Schauen wir uns genau an, wie Quishing funktioniert.

Die Schritte des Quishings umfassen:

  1. Erstellung von bösartigen QR-Codes: Hacker erstellen bösartige QR-Codes, die Links zu betrügerischen Websites enthalten, die den Hackern anstelle der ursprünglichen QR-Macher Vorteile verschaffen. 
  2. Platzierung in E-Mails, Postern, Websites und Nachrichten: QR-Betrüger verteilen dann ihre QR-Codes und legen sie über die Originalcodes, so dass die Opfer nicht wissen, dass sie einen betrügerischen Code scannen. 
  3. Das Opfer scannt und wird auf eine Phishing-Website oder einen Malware-Download umgeleitet: Wenn die Opfer dies tun, ist es für sie unmöglich zu erkennen, dass es sich um einen gefälschten QR-Code handelt, da es keine Erkennungsmerkmale gibt, die sie von den Originalen unterscheiden. 

Häufige Szenarien für Quishing-Angriffe

Viele Angriffsszenarien treten auf, wenn QR-Betrüger ihren Opfern mit QR-Codes virtuelle Fallen stellen. 

Zu den häufigsten Szenarien für Quishing-Angriffe gehören:

  • Gefälschte Anmeldeseiten (z. B. Bank-, E-Mail- oder Unternehmensportale): Betrüger erstellen oft Anmeldeseiten, die fast identisch mit den Originalen von Websites aussehen, die Kunden mit sensiblen Informationen enthalten, auf die es Hacker abgesehen haben, wie Banken oder Unternehmensportale.
  • Gefälschte Kundenumfragen mit Anreizen: Jeder möchte durch das Ausfüllen einer schnellen Umfrage leichtes Geld verdienen, und Betrüger nutzen diesen Wunsch aus, um Informationen zu stehlen. Die Opfer geben ihrem Bedürfnis, Geld zu verdienen, nach, indem sie ihre Daten ausfüllen, die die Hacker anstelle von seriösen Unternehmen erhalten.
  • QR-Codes in gefälschten Park- oder Zahlungsrechnungen: Haben Sie schon einmal eine Park- oder Zahlungsaufforderung erhalten? Diese gefälschten QR-Codes machen sich die Dringlichkeit zunutze, mit der die Menschen Rechnungen oder Bußgelder bezahlen müssen, um Strafen oder sogar Gefängnisstrafen zu vermeiden. Die Dringlichkeit wird von den Betrügern ausgenutzt, die Bankdaten erhalten, mit denen sie Geld stehlen können.
  • Gefälschte QR-Codes in Business-Apps: Unternehmen sind vor QR-Betrug nicht gefeit. Böswillige können ihren eigenen gefälschten QR-Code über einen legitimen Code legen, zum Beispiel über eine CRM- oder eine Zeiterfassungs-App für Mitarbeiter für ein mobiles Gerät. Die Betrüger haben die Daten der Mitarbeiter und möglicherweise Zugang zu Unternehmensdaten.

Warum QR-Phishing so gefährlich ist

QR-Phishing scheint ein paar Leute zu überraschen, aber ist es wirklich so gefährlich? Die kurze Antwort lautet: Ja. 

Quishing kann die Opfer jedes Jahr Millionen von Dollar kosten, weil es schwer zu erkennen ist. Die Menschen vertrauen QR-Codes, mobile Geräte sind weniger sicher und Hacker haben es leicht, herkömmliche E-Mail-Sicherheitsfilter zu umgehen, die nicht über das Designprofil zum Schutz vor dieser Generation von Hackern verfügen. 

Die Kosten der weltweiten Cyberkriminalität haben sich auf 9,22 Billionen USD und werden aufgrund der Einführung neuer Cyberkriminalität wie sQuishing wahrscheinlich noch steigen. Sie kostet Unternehmen und Kunden derzeit enorme Summen, weshalb es sich lohnt, Maßnahmen zu ergreifen, um sie zu verhindern.

Ein Beispiel für einen QR-Phishing-Angriff in der realen Welt

Es ist eine Sache, etwas über Quishing-Angriffe zu lernen, aber es trifft einen erst dann wirklich, wenn man erfährt, wie sich diese auf Unternehmen und Gemeinden mit Beispielen aus der Praxis. Das erste dieser Beispiele ist der Verlust von 17.000 Dollar durch eine unglückliche Person.

Opfer verliert £13k an QR-Betrüger

Im November 2023 wurde eine sehr unglückliche 71-jährige Dame in Newcastle, England, Opfer eines QR-Code-Betrugs, der zu einem großen Verlust von $17,000. Die böswillige Partei erreicht ihren Betrug, indem sie den gefälschten QR-Code über den offiziellen Code auf einem Parkplatzschild legt.

Zunächst schien das Geld der Frau sicher zu sein, denn als sie ihre Bankdaten auf der betrügerischen Website eingab, stoppte ihre Bank die Transaktion. Leider wendeten die Betrüger eine andere Technik an: Sie gaben sich als Bankangestellte aus und ermutigten sie erfolgreich, einen Kredit in Höhe von 9.500 Dollar aufzunehmen. Die böswillige Partei handelte dann schnell, änderte ihre Bankdaten, besorgte neue Karten und richtete ein Online-Konto ein. 

Das Ergebnis der lokalen Regierung war, dass alle QR-Codes von jedem einzelnen TransPennine Express-Parkplatz entfernt wurden.

Diese Vorfälle können sich noch viele Jahre nach ihrem Auftreten auf den Einzelnen auswirken, da es eine große Herausforderung ist, Einsparungen in Höhe von Tausenden von Euro zu erzielen, wie das obige Beispiel zeigt. 

Wie man sich vor QR-Phishing schützt

QR-Phishing-Betrügereien sind heimtückisch und schwer zu erkennen. Die gute Nachricht? Es ist immer noch möglich, sie zu verhindern. 

Befolgen Sie diese bewährten Verfahren und technischen Sicherheitsmaßnahmen, um sich und Ihr Unternehmen vor QR-Phishing-Angriffen zu schützen:

Benutzerbewusstsein und bewährte Praktiken

Erstens sollten Sie immer die Quellen von QR-Codes überprüfen. Sie können dazu eine spezielle App verwenden, aber QR-Betrüger sind hinterhältig. Vergewissern Sie sich also, dass die QR-Verifizierungs-App echt ist, bevor Sie sie installieren und verwenden, denn Betrüger können auch gefälschte Apps erstellen, um Zugriff auf Ihre Daten zu erhalten. 

Als nächstes sollten Sie Apps verwenden, die QR-Codes scannen, bevor Sie Links öffnen. Diese bewährte Methode verhindert, dass Sie Links öffnen, wenn Sie unsicher sind, wohin Sie gehen. 

Und schließlich: Wenn Sie jemals Zweifel an einer Quelle haben, scannen Sie einen QR-Code nicht und überprüfen Sie ihn, bevor Sie ihn scannen. 

Technische Sicherheitsmaßnahmen

Als Organisation, insbesondere als Unternehmen, haben Sie viel mehr zu verlieren als die meisten Einzelpersonen, z. B. Mitarbeiter Daten von Mitarbeitern, Millionen von Dollar und irreparable Schäden für den Ruf Ihres Unternehmens.

Implementieren Sie eine Multi-Faktor-Authentifizierung (MFA) für die Anmeldung, um QR-Phishing-Angriffe zu verhindern. Bei dieser Methode wird jedes Mal ein Code an das Telefon des Nutzers gesendet, wenn er sich anmelden möchte, was QR-Code-Betrüger mit einer weiteren Sicherheitsebene verhindert.

Ihr zweiter Ansatz sollte die Verwendung von Cybersicherheitslösungen mit Funktionen zur Erkennung von QR-Phishing-Betrug sein. Diese Funktion wird Sie vor dieser Bedrohung schützen. 

Und schließlich sollten Sie Schulungen anbieten, die Ihre Mitarbeiter über Social-Engineering-Bedrohungen wie QR-Phishing-Betrügereien informieren, damit sie diese effizient erkennen und vermeiden können. 

Endnote

QR-Phishing ist gefährlich, weil es Einzelpersonen Geld kosten, Daten beschädigen und den Ruf eines Unternehmens schädigen kann. 

QR-Phishing-Betrügereien sind im Vergleich zu herkömmlichen Phishing-Betrügereien schwer zu erkennen, da QR-Codes komplexer und schwieriger auf Legitimität zu prüfen sind. Glücklicherweise können Sie sich durch bestimmte Maßnahmen schützen, z. B. QR-Vorab-Scan-Apps, Multi-Faktor-Authentifizierung und Mitarbeiterschulungen zu Social-Engineering-Bedrohungen, um diese Angriffe zu reduzieren.

Wenn Sie diese Maßnahmen und Praktiken befolgen, können Sie die meisten QR-Phishing-Bedrohungen vermeiden und Ihre Mitarbeiter und sich selbst vor Geldverlusten schützen.

CTA

Neueste Beiträge von Ahona Rudra (alle anzeigen)
Warum Sie einen DMARC-Provider benötigen, wenn Sie Microsoft Office 365 oder externe...microsoft-outlook-powerdmarc