Sie kennen sicherlich die kleinen, viereckigen und schwarz-weißen Codes, die man scannt: QR-Codes. Diese praktischen Grafiken sind daher weit verbreitet. Mit ihnen erhalten Sie schnell weiterführende Informationen auf Ihrem Smartphone und können sich in Benutzerkonten anmelden. Doch wie so oft lauern auch hier Gefahren. Cyberkriminelle nutzen immer häufiger Quishing als Betrugsmasche mit QR-Codes. Erfahren Sie, was Quishing ist, wie es funktioniert und welche Folgen ein erfolgreicher Angriff hat. Entdecken Sie auch, wie Sie mit dem integrierten Phishing-Schutz von Avira Free Security sicherer surfen und Ihre Privatsphäre schützen.
Die Grundlagen: Was sind QR-Codes?
QR steht für „Quick Response“, also für schnelle Antworten. Bei Quick-Response-Codes handelt es sich um zweidimensionale Codes, die sehr viele Informationen auf sehr kleinem Raum enthalten. So findet er oft Einsatz auf Flyern und Werbeplakaten. Aber auch als Verifizierung auf Flug- und Konzerttickets sind QR-Codes immer häufiger im Einsatz.
Der Nutzerkomfort steht dabei im Fokus. Mit wenig Aufwand erhalten Sie wichtige Informationen oder werden direkt auf die richtigen Seiten weitergeleitet. Alles, was Sie benötigen, ist ein Smartphone mit Kamera. Doch der Komfort macht es auch Cyberkriminellen einfacher. So können Hacker beispielsweise hinter dem nichtssagenden QR-Code einen schädlichen Link oder Ransomware verstecken. Diese Form von Phishing über QR-Codes wird in Fachkreisen als Quishing bezeichnet.
Was ist Quishing?
Quishing ist eine Sicherheitsbedrohung im Internet. Cyberkriminelle verfolgen das Ziel, an personenbezogene und vertrauliche Informationen und Finanzdaten zu gelangen. Die geklauten Daten werden wiederum für andere kriminelle Aktivitäten, Betrugsmaschen und Identitätsdiebstahl missbraucht.
Im Prinzip handelt es sich beim Quishing um einen klassischen Phishing-Angriff. Bei Phishing erhalten potenzielle Opfer eine E-Mail oder SMS mit einem Link zu einer schädlichen Website. Alternativ wird über den Dateianhang Ransomware auf den Computer eingeschleust. Bei Quishing erfolgt die Weiterleitung nicht über den klassischen Textlink, sondern über einen QR-Code.
Die Gefahr: Da der Link hinter einem Bild versteckt ist und nicht im Text erscheint, ist Quishing schwerer als Gefahr zu erkennen. Auch E-Mail-Sicherheitssysteme schlagen selten Alarm, da sie den QR-Code als harmloses Bild erkennen.
Wie funktioniert Quishing?
Kriminelle erstellen einen eigenen QR-Code, der potenzielle Opfer zu einer schädlichen Website leitet. Diese QR-Codes werden offline und online genutzt, um Opfer mit Social Engineering zu täuschen. Ob klassische Flyer, Plakate und Poster oder über Social Media und E-Mail: Scannen Sie QR-Codes stets vorsichtig und sicherheitsbewusst.
Benutzer scannen den QR-Code mit ihren Smartphones. Dafür verwenden sie entweder eine spezielle App oder einfach die Kamera. Das Smartphone interpretiert den QR-Code und leitet den Benutzer zur hinter dem Code verborgenen Ziel-URL weiter. Der Browser öffnet sich und die Seite wird aufgerufen. Hier lauert auch schon die Gefahr: Textbasierte Phishing-Links sind leicht zu erkennen, besonders im E-Mail-Kontext. Beim Quishing ist es anhand des QR-Codes nicht ersichtlich, ob dieser schädlich ist. Auch lässt sich der Link nicht per Rechtsklick auf das Bild überprüfen.
Was passiert, wenn Sie gefälschte QR-Codes scannen?
Die Folgen vom Quishing entsprechen denen einer erfolgreichen Phishing-Attacke. Ahnungslose Nutzer werden entweder auf eine gefälschte Website geleitet, oder es wird Malware auf Ihrem Gerät installiert.
- Schädlicher Link: Bei dieser klassischen Methode führt der gescannte QR-Code auf eine Internetseite, die auf den ersten Blick nicht verdächtig wirkt. Möglicherweise ist sie einer Ihnen bekannten Seite nachempfunden. Ziel ist es, dass Sie sich anmelden und Ihre Zugangsdaten auf diese Weise abgefangen werden.
- Malware: Hierbei wird bereits durch den Besuch der Seite schädliche Software heruntergeladen und auf Ihrem Gerät installiert. Diese Software kann Ihr System lahmlegen, sperren oder ausspionieren. Cyberkriminelle erhalten Zugriff auf Ihren Rechner und auf Ihre sensiblen Daten und Dokumente.
Wie erkennt man Quishing-Angriffe?
Vorweg: Einem QR-Code können Sie nicht ansehen, ob dieser legitim oder schädlich ist. Die willkürlichen schwarzen Kästen auf weißem Untergrund sind ohne entsprechenden Scanner absolut nichtssagend. Allerdings geben Ihnen die Umstände und „das Umfeld des Codes“ erste Hinweise darauf, ob der Code seriös oder Teil von QR-Code-Phishing ist.
- Im Rahmen einer E-Mail: Wie beim klassischen Phishing sollten Sie die Mail auf Rechtschreib- und Grammatikfehler untersuchen. Wirkt die E-Mail-Adresse des Absenders seriös? Auch eine künstlich erzeugte Dringlichkeit sowie emotionale Erpressung und Manipulation deuten auf Quishing und Online-Betrug hin.
- Auf Postern / Flyern: Die wenigsten Menschen erwarten auf Postern und Flyern einen Online-Betrug. Prüfen Sie bei Veranstaltungen oder Events die QR-Codes genau. Wenn dieser offensichtlich überklebt wurde, sollten Sie ihn unter keinen Umständen scannen. Bei Flyern gilt es, auf die Quelle zu achten: Liegen diese einfach offen herum oder wurden sie von einer seriösen Quelle verteilt?
Wie kann man sich vor Quishing schützen?
Grundsätzlich gilt: Ob textbasierter Link oder QR-Code, seien Sie immer vorsichtig, besonders bei unbekannten Quellen. Seien Sie besonders skeptisch, wenn Sie eine Nachricht nicht erwarten. Die Herkunft der Nachricht sowie der Textaufbau und -inhalt geben Hinweise darauf, ob es sich um ein legitimes Anliegen oder Quishing handelt.
- URL prüfen: Die meisten Apps zeigen die URL hinter einem QR-Code vor dem Öffnen an. Wenn diese suspekt wirkt oder durch einen Dienst wie bit.ly verschleiert ist, sollten Sie skeptisch sein. Erfahren Sie, wie Sie die Website-Sicherheit überprüfen können, um sicherzugehen, dass die Seite vertrauenswürdig ist.
- Absender prüfen: Von wem kommt der QR-Code? Kennen Sie die Person oder das Unternehmen? Haben Sie den Code, beispielsweise im Rahmen einer Registrierung, erwartet?
- Umgang mit Daten: Gehen Sie vorsichtig mit Ihren persönlichen Daten um. Überlegen Sie sich, welche Seiten und Dienste wirklich sensible Informationen benötigen und ob es Alternativen gibt.
- Downloads vermeiden: Wenn Ihnen die Quelle nicht bekannt ist oder unseriös wirkt, sollten Sie nichts von der verlinkten Website herunterladen.
- Zusätzliche Authentifizierung: Aktivieren Sie für wichtige Konten mit vertraulichen Informationen Zwei-Faktor-Authentifizierung bzw. Multi-Faktor-Authentifizierung. So sind Sie auch gut geschützt, falls Dritte unbefugten Zugang zu Ihren Anmeldedaten, einschließlich Ihres Passworts, erhalten sollten.
Schützen Sie sich zusätzlich vor Quishing mit der Phishing Protection von Avira Free Security
Sie sind sich bei einem QR-Bild und dem dazugehörigen Link nicht sicher, ob dieser legitim ist? Cyberkriminelle wissen, wie sie ihre Betrugsmaschen immer besser verschleiern können. Mit der integrierten Phishing Protection von Avira Free Security erkennen Sie schädliche Links in Echtzeit.
Das Tool stoppt das Öffnen von infizierten Pop-ups, identifiziert Phishing-Webseiten und verhindert Browser-Hijacking. Auch spürt es unerwünschte Anwendungen in Ihren Downloads auf und informiert Sie zeitnah.
Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch