Cyberkriminelle passen ihre Angriffstechniken immer wieder an, um mögliche Sicherheitslücken zu finden. Eine – möglicherweise – aufkommende Methode für Cyberangriffe ist das QR-Code-Phishing, auch als „Qishing“ bezeichnet. Dabei werden die überall zu findenden QR-Codes genutzt, um Benutzer dazu zu bringen, vertrauliche Informationen preiszugeben oder auf schädliche Websites zuzugreifen. In diesem Artikel erklären wir, wie QR-Phishing funktioniert und wie Sie sich dagegen wehren können.
Vorweg sei jedoch zu erwähnen, dass es derzeit wenig Hinweise darauf gibt, dass dieser QR-basierte Phishing-Typ ein problematisches Niveau erreicht hat. Die Presse hat zwar bereits über angebliche QR-Phishing-Fälle berichtet, allerdings sind die Einzelheiten zu diesen Vorfällen eher vage und die betroffenen Personen wurden höchstwahrscheinlich Opfer anderer, herkömmlicherer Betrugstaktiken. Einige Fälle sind auch nur Angreifern zuzuschreiben, die lediglich die Stimmung testen, und noch keine ausgewachsenen Kampagnen. Wie dem auch sei, da es sich zumindest in der Theorie um eine Gefahr handeln könnte, ist es dennoch sinnvoll, sich die Sache einmal genauer anzusehen.
QR-Phishing als neue Pforte für Cyberverbrechen?
QR-Codes sind ein fester Bestandteil unseres Alltags geworden. Sie bieten uns einen schnellen und bequemen Weg, um auf Websites, Informationen und Dienstleistungen zuzugreifen. Doch dieser Komfort könnte auch Cyberkriminellen neue Wege eröffnen.
Beim QR-Phishing werden bösartige Links in QR-Codes eingebettet, die nichts ahnende Benutzer auf Phishing-Sites weiterleiten, wo ihnen dann deren Zugangsdaten oder Geld gestohlen werden soll. Diese schädlichen QR-Codes könnten per E-Mail verschickt oder an öffentlich zugänglichen Orten über vorhandene QR-Codes geklebt werden. Ob dies tatsächlich vorkommt und wenn ja, wie oft, ist jedoch unklar.
Ein Anstieg bei QR-Phishing-Fällen?
Es gibt aktuelle Trends, die auf einen möglichen Anstieg von Qishing hindeuten. So berichtet beispielsweise Cofense von einer Kampagne, die es auf ein großes US-Energieunternehmen abgesehen hat. Ob diese leichte Zunahme jedoch ein Anzeichen für Kommendes ist oder nur ein Fall von Kriminellen, die die Nutzbarkeit von QR-Phishing testen, ist offen.
Bei einem anderen Vorfall, über den kürzlich die BBC berichtete, hat eine Frau in Großbritannien angeblich 13.000 GBP über einen QR-Code-Betrugsversuch am Bahnhof verloren. Cyberkriminelle hätten einen von mehreren QR-Codes, die am Parkplatz des Bahnhofs angebracht sind, durch einen ersetzt, der sie auf eine gefälschte Website führte. Diese Seite ermöglichte es ihnen, die Zahlungen umzuleiten und die Kartendaten zu stehlen, wodurch das Opfer (71 Jahre) Tausende Pfund verlor. Dazu sei angemerkt, dass ein Vertreter des Unternehmens, das den Parkplatz betreibt, folgendes aussagt: „Wir haben schnell reagiert und alle unsere Schilder im Gelände überprüft. Es konnten keinerlei Hinweise auf betrügerische Aufkleber gefunden werden und wir haben auch keine Meldungen in unserem Kundenbetreuungssystem oder unseren sozialen Kanälen.“ Handelt es sich also überhaupt um einen Qishing-Fall? Die QR-Codes in einem Gelände zu ersetzen, das höchstwahrscheinlich überwacht wird, ist sehr riskant … definitiv riskanter als herkömmliches Phishing per E-Mail. Wieso sollte jemand dieses Risiko eingehen?
Die BBC meldete zu dem Vorfall, dass es „einer von etwa 1.200 QR-Betrugsversuchen ist, die von der nationalen Störungsstelle in Großbritannien allein innerhalb von drei Jahren untersucht wurden“.
Was können Sie dagegen tun?
Im geschäftlichen Umfeld lässt sich das Risiko von QR-Codes leicht umgehen: Weisen Sie Ihre Angestellten an, sie nicht zu scannen. Uns fällt kein berechtigter Grund ein, wieso ein QR-Code per E-Mail verschickt werden sollte.
Aber wie sieht es mit QR-Codes an öffentlichen Orten aus, etwa an einem Parkplatz, noch dazu, wenn Sie Ihre Finanzdaten angeben müssen? Darauf können wir leider keine Antwort geben. Das Risiko, dass der Code irgendwie abgeändert wurde, ist extrem klein, aber eben nicht Null. Sollten Sie den Code scannen, überprüfen Sie genau die geladene URL und stellen Sie sicher, dass die Website legitim ist. Wenn Sie auch nur den geringsten Zweifel haben, bitten Sie einen Mitarbeiter um Rat oder suchen Sie die offizielle URL zu der Website heraus und greifen Sie darüber auf die benötigte Seite zu.
Lösungen von Emsisoft
Emsisoft bietet leistungsstarke Cybersecurity-Lösungen, die Ihnen im Kampf gegen alle möglichen Phishing-Arten ein wichtiger Helfer sind. Unsere fortschrittliche Anti-Phishing-Technologie ist darauf ausgelegt, den Zugriff auf Phishing-Seiten, Malware verbreitende Plattformen und Malware selbst zu blockieren. Informieren Sie sich über unsere benutzerfreundlichen mehrstufigen Sicherheitslösungen für Privatanwender und Unternehmen.
Wir bieten auch eine kostenlose Browser-Erweiterung an, die den Zugriff auf schädliche Websites blockiert. Sie funktioniert in Chrome und Chromium-basierten Browsern, wie Microsoft Edge und Brave, sowie in Firefox. Hier können Sie mehr darüber herausfinden.
Übersetzung: Doreen Schäfer