In vielen Bereichen des Lebens gehören QR-Codes inzwischen zum Alltag. Kino- oder Flugtickets müssen dadurch nicht mehr ausgedruckt werden, Speisekarten gibt es jetzt digital. Auch auf Flyern oder Plakaten sind oft QR-Codes zum Scannen zu finden. Das nutzen jetzt auch Kriminelle, die die Codes für Phishing-Angriffe verwenden. Diese Methode nennt sich Quishing. Der Begriff setzt sich aus den beiden Wörtern QR-Code und Phishing zusammen.
Quishing: So funktioniert die Betrugsmasche
Die Vorgehensweise beim Quishing ist ähnlich wie beim Phishing. Kriminelle versenden meist eine E-Mail mit einer Betreffzeile. Darin weisen sie laut dem Technikmagazin Chip auf ein akutes Sicherheitsproblem hin, das direktes Handeln vom Empfänger erfordere.
Bei einer anderen Masche wird Nutzern vorgetäuscht, dass sie durch das Einscannen eines QR-Codes ein bestimmtes Dokument auf ihr Smartphone herunterladen können. Scannen sie den QR-Code, laden die Nutzer entweder eine Malware, eine bösartige Software, herunter, oder sie geben sensible Informationen oder Daten ein, die direkt an die Betrüger weitergeleitet werden. Die Kriminellen können die Zugangsdaten beispielsweise dazu nutzen, im Namen der Opfer online zu shoppen oder Zugang zu geschützten Netzwerken zu erhalten.
So kann man sich gegen Quishing schützen
Laut Chip ist es nicht schwer, sich gegen Quishing zu schützen. Wer eine E-Mail von einem unbekannten Absender bekommt, sollte generell vorsichtig sein. Befinden sich QR-Codes in E-Mails von unbekannten oder dubiosen Absendern, sollten diese nicht gescannt werden. Nutzer sollten generell niemals vertrauliche Informationen wie Passwörter oder Bankdaten an unbekannte Absender weitergeben. Um einen besseren Schutz für Quishing-Attacken zu haben, sollte man auch regelmäßig seine Sicherheitseinstellungen aktualisieren.
Beim Quishing nutzen die Betrüger laut dem Portal der Gewerkschaft der Polizei PolizeiDeinPartner.de eine Schwäche von IT-Sicherheitslösungen aus. Diese scannen zwar verdächtige URLs und Anhänge, doch QR-Codes werden nur als Bild erkannt. Deshalb sehen die Sicherheitsprogramme darin kein Risiko. So gelangen die E-Mails in die Postfächer der Nutzer.