Technologie einfach erklärt

Quishing: Wie man QR-Code-Phishing-Angriffe vermeidet

Hauptbild: Quishing (QR-Code-Phishing) Angriffe

QR-Codes sind in unseren Interaktionen mit Menschen und Produkten unerlässlich geworden. Ein schneller Scan mit Ihrem Handy genügt, um Kontaktdaten auszutauschen, Veranstaltungsorte zu betreten und Online-Waren zu kaufen. Ihre weitverbreitete Nutzung hat jedoch Cyberkriminelle angezogen, die es jetzt einfach finden, gefälschte, bösartige QR-Codes zu erstellen, was zu einer neuen Phishing-Bedrohung namens „Quishing“ führt. Hier ist unser Rat zu Quishing-Angriffen mit einigen praktischen Tipps, um sich zu schützen.

Was ist Quishing?

Quishing, auch bekannt als QR-Code-Phishing, ist eine Cyberbedrohung, die die Bequemlichkeit und Beliebtheit von QR-Codes ausnutzt. Cyberkriminelle verwenden gefälschte QR-Codes, um Menschen dazu zu verleiten, gefälschte Websites zu besuchen. Sie versuchen dann, auf persönliche Informationen wie Anmeldedaten und Passwörter zuzugreifen, Malware auf Ihr Gerät zu installieren oder Ihre finanziellen Informationen zu stehlen.

Laut Egress waren zwischen dem 1. Januar und dem 31. August 2024 mindestens 12 % der Phishing-Angriffe QR-Codes beteiligt, ein dramatischer Anstieg von nur 0,8 % im Jahr 2021. Dieser signifikante Anstieg des Quishings ist ein Beweis für die wachsende Verbreitung der QR-Technologie. Darüber hinaus nutzen Phishing-Kits im Dark Web, wie „FishXProxy“, QR-Codes als beliebte Wahl für Account-Takeover-Angriffe (ATO).

Das Scannen bösartiger QR-Codes kann zu Sicherheitsbedrohungen führen, einschließlich solcher aus dem Dark Web.

Die Durchführung eines Quishing-Angriffs ist relativ einfach, da jeder einen QR-Code generieren kann. Diese Codes können nahezu überall platziert werden – auf Flyern, Plakaten, T-Shirts, Rucksäcken und durch konventionelle Phishing-Tools wie E-Mails und soziale Medien. Die meisten Menschen betrachten QR-Codes als harmlos. Sie sind nur dann in Gefahr, wenn sie die gefälschten Websites besuchen, die mit diesen Codes verlinkt sind.

Wie funktioniert QR-Phishing?

QR-Phishing nutzt die weitverbreitete Nutzung von Smartphones und QR-Codes aus. Selbst Laptops können diese Codes scannen. Angreifer müssen nur einen scheinbar legitimen QR-Code erstellen, der auf eine bösartige Website oder Malware-Dateien verweist.

Einen QR-Code mit böswilliger Absicht zu erstellen, ist der einfache Teil. Die Herausforderung besteht darin, die Menschen dazu zu bringen, diese Bilder zu scannen. Hier kommt soziale Ingenieurkunst ins Spiel. Angreifer könnten verschiedene Täuschungstaktiken anwenden, Belohnungen versprechen oder ein Gefühl der Dringlichkeit erzeugen. Infolgedessen haben sich zahlreiche Arten von Quishing-Angriffen entwickelt. Die häufigsten sind:

1. QRLJacking

Dies ist die einfachste, aber schwer zu erkennende Form des Quishing-Angriffs. Cyberkriminelle erstellen einen QR-Code, der mit einer Website verlinkt ist, die einer legitimen Anwendung, die QR-Code-Zugang erfordert, sehr ähnlich sieht. Dies könnte für Apps wie WhatsApp, Discord, TikTok oder sogar Ihre Bankwebsite sein.

QRLjacking, das zu einer gefälschten WhatsApp-Nachahmungswebsite führt.

Die meisten von uns überprüfen nicht die schwarz-weißen Datenmodule, die eine tatsächliche Website kodieren, was es einfach macht, getäuscht zu werden und Anmeldeinformationen preiszugeben. Angreifer laden dann Ihren letzten Anmeldestand auf einen Phishing-Server hoch, was ihnen die Möglichkeit gibt, Ihre Sitzung später zu übernehmen. Glücklicherweise macht die Aktivierung der Zwei-Faktor-Authentifizierung QRLJacking-Angriffe nahezu unmöglich. Viele Websites überwachen verdächtige Anmeldeversuche und werden Sie rechtzeitig warnen.

2. Plain Text QR-Phishing

Bei einem Plain-Text-QR-Code-Phishing-Versuch betten Angreifer schädliche QR-Codes in E-Mails, SMS und sozialen Medien ein. Der schlimmste Teil ist, dass diese Codes so erscheinen können, als kämen sie von vertrauenswürdigen Kontakten, da die Angreifer möglicherweise Zugriff auf deren Konten erlangt haben.

Plain-Text-QR-Code-Phishing, das in einer E-Mail eingefügt ist, die zu einem gefälschten Amazon-Konto führt.

Die Vorgehensweise ist einfach: Angreifer könnten eine lukrative Belohnung versprechen, obwohl viele Benutzer mittlerweile skeptisch gegenüber solchen Taktiken sind. Alternativ könnten sie behaupten, es habe verdächtige Anmeldeversuche auf einer Website wie Amazon gegeben. In Wirklichkeit versuchen die Angreifer, Ihre Anmeldeinformationen durch den QR-Code zu erfassen.

3. Formjacking

Formjacking ist eine gängige Methode, um finanzielle Informationen, wie Kreditkartendaten, zu stehlen, indem Benutzer auf ahnungslose Websites gelockt werden. Benutzer geben möglicherweise direkt ihre Zahlungsinformationen ein, die dann mit einem bösartigen Skript auf der Seite gestohlen werden.

Alternativ werden sie möglicherweise aufgefordert, ein Formular auszufüllen, das oft als Umfrage mit versprochenen Belohnungen maskiert ist, um Antworten auf Sicherheitsfragen wie Geburtsdatum, Geburtsort, Name der Mutter und andere persönliche Details zu sammeln.

Mögliche Formjacking-Bedrohungen auf einem großen Bildschirm sichtbar.

Diese Art von Cyberbedrohung war rückläufig, da die meisten Benutzer vorsichtig gegenüber bösartigen Formularseiten geworden sind. Die jüngste Beliebtheit von QR-Codes hat jedoch diesen Seiten ein Gefühl von Legitimität verliehen und die Bedrohung des Formjacking wiederbelebt.

4. Andere Arten von QR-Phishing-Versuchen

Es gibt mehrere andere Arten von QR-Phishing-Versuchen, die Sie unerwartet antreffen könnten. Es ist wichtig, wachsam zu bleiben und sich dieser Methoden bewusst zu sein.

  • Malware QR-Phishing: diese QR-Codes führen Sie zu mit Malware verseuchten Websites oder leiten den Download schädlicher Trojaner oder Rootkits ein. Ziel ist es, unbefugten Zugriff auf die Ressourcen Ihres Systems zu erlangen. Die Verwendung von Antivirensoftware mit Funktionen wie einer Firewall, E-Mail- und Webschutz sowie Phishing-Abwehr kann helfen, sich gegen diese Bedrohungen abzusichern.
  • Crypto QR-Phishing: diese Tools sind im Dark Web weit verbreitet. Sie locken ahnungslose Benutzer dazu, scheinbar harmlose Websites zu besuchen, die dann bösartige Skripte injizieren, die unentdeckt bleiben. Diese Skripte nutzen das Zielsystem aus, um Kryptowährung ohne Zustimmung des Benutzers zu schürfen. Infolgedessen könnte der Benutzer Tage lang eine langsame PC-Leistung, häufige Neustarts und andere Leistungsprobleme erleben.
  • Macro-basiertes QR-Phishing: obwohl heutzutage relativ selten, hat der alte Trick, Makros in Excel-, Word- oder PDF-Dokumente einzubetten, um Malware zu installieren oder Informationen zu stehlen, nun eine QR-Code-Wendung. Solche Dateien sollten jedoch auf Geräten mit aktueller Antivirensoftware oder aktualisierten Smartphones automatisch blockiert werden.

Warum ist es so einfach, Opfer eines Quishing-Angriffs zu werden?

Es ist klar, dass es relativ häufig vorkommt, Opfer eines QR-Code-Phishing-Versuchs zu werden. Hier sind einige Gründe, warum Betrüger dieses täuschende Werkzeug erfolgreich nutzen und warum Sie über diese Bedrohungen wachsamer werden sollten.

  • Implizites Vertrauen in QR-Codes: Das Scannen von QR-Codes ist eine relativ neue und trendige Technologie, und viele Benutzer vertrauen ihr in der Regel aufgrund eines Mangels an Bewusstsein über potenzielle Bedrohungen. Es ist wichtig zu beachten, dass QR-Codes fast 12 % aller Phishing-Versuche ausmachten. Blindes Vertrauen in QR-Codes gehört der Vergangenheit an.
  • Markenimitationen sind einfach: Es ist einfach, beliebte Marken wie Telegram, WhatsApp, TikTok, Amazon und viele andere nachzuahmen. Die meisten Benutzer überprüfen nicht, ob eine URL legitim ist. Eine Seite wie „AmazonAws.com“ mag vertrauenswürdig erscheinen, ist jedoch tatsächlich eine bösartige Website ohne Verbindung zu Amazon oder Azure. Dies verschafft Betrügern in bestimmten Situationen einen Vorteil.
  • Unsichtbare Links: Die meisten Benutzer sind vorsichtig beim Besuchen gekürzter URLs und unbekannter Links. Bei einem QR-Code sind diese Links jedoch hinter einem Bild verborgen, das legitim erscheint. Dies verleiht Links, die nicht besucht werden sollten, ein ungerechtfertigtes Maß an Glaubwürdigkeit.

So vermeiden Sie einen Quishing-Angriff

QR-Codes sind allgegenwärtig und erscheinen auf Werbetafeln, versiegelten Umschlägen, Kleidung, Accessoires und über das Web und soziale Medien. Obwohl nur ein kleiner Teil dieser Codes möglicherweise bösartige Links enthält, kann es sich anfühlen, als wäre es unvermeidlich, ein Opfer zu werden. Aber das muss nicht so sein. Indem Sie folgende Vorsichtsmaßnahmen ergreifen, können Sie sich vor Quishing-Angriffen schützen.

  • Verwenden Sie nur zuverlässige Quellen: Wenn Sie einen QR-Code sehen, der prominent in einem Restaurant, Einkaufszentrum oder Veranstaltungsort angezeigt wird, ist er wahrscheinlich legitim. Diese QR-Codes sind offensichtlich für die breite Öffentlichkeit gedacht. Im Gegensatz dazu erfordern QR-Codes, die über E-Mails, soziale Medien und zufällige Weblinks empfangen werden, mehr Überprüfung.
  • Vermeiden Sie zufällige QR-Codes: Sie könnten zufällige QR-Codes auf Flyern, Verpackungen und an anderen Orten finden, die Ihrem Job nicht viel Wert hinzufügen. Vermeiden Sie es, diese Codes zu scannen.
  • Vorschau des QR-Codes vor dem Klicken: Fast alle QR-Scan-Apps ermöglichen es Ihnen, die Vorschau des QR-Codes anzuzeigen, bevor Sie klicken. Wenn der Link verdächtig aussieht, widerstehen Sie dem Drang.
  • Aktivieren Sie die Zwei-Faktor-Authentifizierung: Der Einsatz von Zwei-Faktor-Authentifizierung ist ein hervorragender Schutz gegen Quishing-Versuche auf beliebten Apps und Websites.
  • Ständige Wachsamkeit: Da QR-Code-Phishing-Betrügereien als bedeutende Sicherheitsbedrohung auftreten, kann es hilfreich sein, sich über die neuesten Cybersicherheitsnachrichten auf dem Laufenden zu halten, um wertvolle Einblicke in neue Bedrohungsvarianten zu erhalten.

In diesem Leitfaden haben wir gesehen, was Quishing ist und wie Sie sich vor einem Quishing-Angriff schützen können. Es ist nur eine Form von Phishing-Angriffen: Es gibt viele weitere, wie diejenigen, die sich an Black Friday-Käufer richten. Sie sollten auch vorsichtig gegenüber Amazon Prime Day-Betrügereien sein.

Bildnachweis: DALL-E 3. Alle Fotos und Screenshots von Sayak Boral.

Inhalt

  1. Was ist Quishing?
  2. Wie funktioniert QR-Phishing?
  3. 1. **QRLJacking**
  4. 2. Plain Text QR-Phishing
  5. 3. Formjacking
  6. 4. Andere Arten von QR-Phishing-Versuchen
  7. Warum ist es so einfach, Opfer eines Quishing-Angriffs zu werden?
  8. So vermeiden Sie einen Quishing-Angriff
Ello-dashboardprofile

Ello: Das Private Soziale Netzwerk Erforschen

Bitdefender installiert nicht: 3 einfache Lösungen, die Sie verwenden können

Mehr über Bitdefender Fixes

Google stellt Inbox ein und gibt ihm sechs Monate zu leben

seitenverhaeltnisse-16x9

Verstehen von Video-Seitenverhältnissen

Dateimanager mit Tags zur Organisation Ihrer Dateien: Top 5

Wake-on-LAN funktioniert nicht

Wake On LAN funktioniert nicht unter Windows [Gelöst]

easycap-mac-mspacman-console

Verwendung von EasyCAP zum Erfassen von VHS und Konsolen auf dem Mac

Google testet neue Chrome-Funktion zur Upgrade-Berechtigung für Windows 11