3D-QR-Code

Quishing ist das neue Phishing - neue Betrugsmasche auf dem Vormarsch!

Newsletter 3-2024

So wie sich alles stetig weiterentwickelt, bleibt leider auch die Cyberkriminalität nicht stehen.

„Quishing“ ist ein aus „QR“ und „Phishing“ zusammengesetztes Wort und beschreibt eine neue Methode des Phishings von Cyberkriminellen mittels QR-Codes. Während beim Phishing Daten von Nutzern beispielsweise über gefälschte Mails, Internetadressen oder SMS abgefangen werden, wird der Nutzer durch das Scannen eines solchen QR-Codes auf eine gefälschte Website gelotst.

Wer kennt sie nicht die praktischen QR-Codes, die uns unseren Alltag erleichtern? Sei es das Aufrufen der Speisekarte im Restaurant oder die bequeme Scan- and Pay-Funktion auf Rechnungen, die bei Überweisungen die Eingabe von Empfänger, IBAN und Verwendungszweck entbehrlich machen. Doch so praktisch diese Quick Response (QR)-Codes auch sind, so gefährlich können diese für unsere Datensicherheit sein.

Spamfilter erkennen keine QR-Codes

Während Virenscanner E-Mails stets auf verdächtige Anhänge und URLs hin prüfen, werden QR-Codes in E-Mails nur als Bilder erkannt und gelangen somit häufiger in unseren Mail-Account.

So gehen die Betrüger vor

Das Vorgehen ist dem des herkömmlichen Phishings sehr ähnlich. Nutzern werden Sachverhalte vorgegaukelt, bei denen sie aktiv werden müssen: Eine Sicherheitslücke am PC soll geschlossen werden, man wurde beim Zustellversuch eines Pakets nicht angetroffen und könne über den QR-Code sehen, wo das Paket nun hinterlegt wurde etc. Ziel ist es, dass Nutzer den QR-Code auf ihrem Mobiltelefon scannen und dadurch auf eine gefälschte Website gelangen. Verschiedene Szenarien sind möglich: Nutzer laden Dokumente herunter, die mit Mal- oder Spyware verseucht sind oder sie geben Log-In Daten in eine Eingabemaske ein, auf die die Betrüger direkt Zugriff haben. Dadurch erhalten Kriminelle Zugriff auf diverse Konten (Bankkonten, Amazon, diverse andere Online-Bestellplattformen) oder sogar auf geschützte Firmennetzwerke.

Bleiben Sie wachsam!

  • Bleiben Sie skeptisch, wenn Sie E-Mails von unbekannten Absendern bekommen.
  • Prüfen Sie, ob der Absender der E-Mail tatsächlich der ist, der er vorgibt zu sein (Stichwort: ähnliche Schreibweise der Mailadresse mit nur geringfügiger Abweichung).
  • Öffnen Sie keine Anhänge oder Links von verdächtigen oder unbekannten Absendern und scannen Sie keine QR-Codes.
  • Rufen Sie im Zweifelsfall beim vermeintlichen Absender an. Verwenden Sie dabei nicht die Telefonnummer in der verdächtigen E-Mail – suchen Sie diese eigenständig im Internet.
  • Sollten Sie angerufen werden, betätigen Sie nicht die Rückruftaste zur Kontrolle – geben Sie eigenständig die Ihnen bisher bekannte Telefonnummer ein (Stichwort: Telefon-Spoofing).
  • Nutzen Sie Multi-Faktor-Authentifizierung.
  • Nicht nur Rechner und Notebooks müssen gesichert sein – auch Smartphones sollten Ihren Sicherheitsstandards unterliegen.
  • Monitoren Sie aktiv die Schnittstellen (APIs) Ihres Unternehmens. 
  • Bilden Sie sich und Ihre Mitarbeiter fort. Nur wenn Gefahren bekannt sind, können sie auch erkannt werden!
     

Für Fragen zum Thema Cyber-Sicherheit stehen Ihnen unsere Kundenbetreuer/innen gerne zur Verfügung.

Produktvideo Cyber-Versicherung

Um die nachfolgenden Inhalte anzeigen zu können, benötigen wir, gemeinsam mit dem Dienstanbieter, Ihre Zustimmung. Sie können unter "Individuelle Einstellungen" Ihre Zustimmung widerrufen und detaillierte Informationen erhalten.