
THE YOOTH - stock.adobe.com
Quishing nimmt zu: Wie man QR-Code-Phishing verhindert
Auf einen Geschäftsbrief, per Mail, an der Ladesäule oder als Strafzettel – Mitarbeitende können im Alltag leicht Opfer von QR-Code-Betrug werden. Abwehrmaßnahmen im Überblick.
QR-Codes begegnen Anwendern und Mitarbeitenden in vielen Alltagssituationen, um einfache Interaktionen zu ermöglichen. Nicht selten kommen dabei auch sensible Daten ins Spiel. Und das ruft dann naturgemäß Cyberkriminelle auf den Plan.
Quishing, auch bekannt als QR-Code-Phishing, ist eine Art von Phishing-Angriff, bei dem ein Benutzer dazu verleitet wird, einen bösartigen QR-Code mit einem mobilen Gerät zu scannen. Bei einem typischen Angriff öffnet der QR-Code eine betrügerische Website im Browser des Benutzers, die dann möglicherweise Malware herunterlädt oder sensible Informationen wie Anmeldedaten oder Kreditkartennummern erfasst.
Wie ein QR-Code funktioniert
Ein QR-Code (Quick Response Code) ist ein rechteckiger Barcode – ein Bild aus schwarzen Quadraten auf weißem Hintergrund –, der Daten enthält. Wenn ein Nutzer eine kompatible Kamera oder App auf einen QR-Code richtet, werden die Daten gescannt und eine Aktion ausgelöst, in der Regel das Öffnen einer Webseite. Es kann auch ein Anruf, eine SMS oder eine digitale Zahlung ausgelöst werden.
QR-Codes sind einfach und kostengünstig zu erstellen und werden von Unternehmen häufig verwendet, um Kundeninteraktionen und Transaktionen zu vereinfachen. Ein legitimer QR-Code kann beispielsweise Details zu Veranstaltungstickets, Informationen zum Zahlungsportal oder einen Link zur Website eines Unternehmens enthalten. Die zunehmende Beliebtheit von QR-Codes hat sie jedoch auch zu einer attraktiven Angriffsmethode für Cyberkriminelle gemacht.
Was ist Quishing und wie funktioniert es?
Herkömmliche Phishing-Kampagnen versuchen, Benutzer zum Herunterladen von Anhängen oder zum Klicken auf Hyperlinks zu verleiten. E-Mail-basierte Quishing-Angriffe verstecken bösartige Links in QR-Code-Bildern und versuchen, Benutzer davon zu überzeugen, diese mit sekundären Mobilgeräten zu scannen. Bösartige QR-Codes sind schwer zu erkennen und zu blockieren, da die meisten Anti-Phishing-E-Mail-Filter Texte und Links analysieren, Bilder jedoch nicht.
Im schlimmsten Fall könnte ein erfolgreicher Quishing-Angriff die Anmeldedaten eines Unternehmensmitarbeiters kompromittieren und Angreifern Zugriff auf ein privates Unternehmensnetzwerk verschaffen. Dies könnte wiederum zu Datendiebstahl, Ransomware-Angriffen oder anderen schwerwiegenden Cybersicherheitsvorfällen führen.
In einigen Fällen können Nutzer auch offline auf QR-Code-Betrug stoßen. Das erhöht das Risiko, dass Mitarbeitende in ihrem Arbeitsalltag auf Quishing-Versuche stoßen. So haben Kriminelle beispielsweise QR-Code-Aufkleber an Parkuhren angebracht, um Autofahrer auf betrügerische Zahlungsportale weiterzuleiten. Im März 2025 hat der ADAC vor Quishing-Betrug an den Ladesäulen für E-Autos gewarnt. Kriminelle versuchen dort mit gefälschten QR-Codes an Kontodaten zu gelangen. Und auch bei Strafzetteln werden die Kriminellen aktiv und platzieren manipulierte Ausdrucke an Fahrzeugen.
Wie man sich vor QR-Code-Betrug schützen kann
Wie bei jeder Art von Phishing ist die beste Verteidigung gegen Quishing-Angriffe eine gut ausgebildete Anwenderbasis. Unternehmen sollten Schulungen zum Sicherheitsbewusstsein anbieten, die die folgenden bewährten Verfahren umfassen:
- Niemals einen QR-Code aus einer unbekannten Quelle scannen. Überprüfen Sie die E-Mail-Domain des Absenders sorgfältig.
- Wenn ein QR-Code aus einer vertrauenswürdigen Quelle per E-Mail stammt, bestätigen Sie über ein separates Medium – zum Beispiel SMS, Anruf und so weiter –, dass die Nachricht echt ist.
- Achten Sie auf Anzeichen für Phishing-Kampagnen, wie zum Beispiel Dringlichkeit und Appelle an die Emotionen der Nutzer – beispielsweise Mitgefühl, Angst und so weiter. Rechtschreib- und Grammatikfehler sollten ebenfalls Verdacht erregen.
- Verwenden Sie zum Scannen von QR-Codes nur die integrierte Kamera Ihres Mobilgeräts oder vertrauenswürdige Apps von renommierten Softwareanbietern. Erwägen Sie die Verwendung einer QR-Code-Scan-App mit integrierten Sicherheitsfunktionen.
- Seien Sie äußerst vorsichtig, wenn ein QR-Code zu einer Website führt, auf der Sie zur Eingabe persönlicher Daten, Anmeldedaten oder Finanzinformationen aufgefordert werden.
- Achten Sie auf eine gute Passworthygiene, verwenden Sie niemals dasselbe Passwort für mehrere Konten.
Unternehmen sollten auch zusätzliche Sicherheitskontrollen in Betracht ziehen, die dazu beitragen können, mehrere Arten von Phishing-Angriffen zu bekämpfen und den Schaden zu mindern, wenn einer erfolgreich ist. Dazu gehören die folgenden Maßnahmen:
- Allowlisting und Blocklisting
- Anti-Spam-Filter
- Starke E-Mail-Sicherheitsrichtlinien
- Starke Passwortrichtlinien
- Multifaktor-Authentifizierung
- Antimalware-Software
- E-Mail-Sicherheits-Gateways
- Nutzung von Threat-Intelligence-Diensten
Schließlich könnten einige Unternehmen beschließen, QR-Codes gänzlich zu vermeiden. Informieren Sie in diesem Fall Ihre Mitarbeiter und erinnern Sie sie regelmäßig daran, dass sie keine QR-Codes scannen dürfen, die sie auf ihren beruflichen Konten oder mit Unternehmensgeräten erhalten.