IT-Sicherheit

Quishing ist neue Gefahr

Wie Cyberkriminelle QR-Codes für sich nutzen

von 12.06.2024
Zu sehen sind Hände mit einem Smartphone vor einem Laptop; es soll ein QR-Code eingescannt werden. Handelt es sich um Quishing? Bild: Unsplash/Marielle Ursua
QR-Codes zu scannen ist praktisch und bequem. Im Fall von Quishing ist es allerdings auch gefährlich. Bild: Unsplash/Marielle Ursua

Mit Quishing haben Cyberkriminelle eine neue Methode gefunden, um ihre Opfer in die Falle zu locken. Zum Einsatz kommen dabei QR-Codes.

Wir erklären, was Quishing ist, wie es funktioniert und wie sich Unternehmen davor schützen.

Cybercrime macht erfinderisch

Cyberkriminelle finden immer wieder neue Möglichkeiten, ihre betrügerischen Absichten zu verwirklichen. Obwohl gängige Betrugsmaschen wie Phishing oder Vishing bereits bekannt sind, entwickeln die Täter ständig neue Vorgehensweisen, um mit diesen Techniken ahnungslose Nutzer zu täuschen. So nutzen sie beispielsweise gefälschte Profile auf LinkedIn, um Vertrauen aufzubauen, oder kopieren seriöse Websites, um an sensible Informationen zu gelangen.

Die Kreativität der Cyberkriminellen kennt dabei keinerlei Grenzen. Sie passen ihre Methoden stets an die neuesten technischen Entwicklungen an und nutzen die wachsende Vernetzung aus, um ihre Opfer zu finden. Und jetzt haben sie wieder einmal ein neue Methode aus dem Hut gezaubert: das Quishing. Was das genau ist und wie Sie sich und Ihr Unternehmen vor dieser Betrugsmasche, erfahren Sie in diesem Beitrag.

Zu sehen ist ein Tisch in einer Außengastronomie mit einem QR-Code zur Speisekarte. Cyberkriminelle nutzen QR-Codes neuerdings für Quishing. Bild: Unsplash/John Tuesday

QR-Codes gehören inzwischen zum Alltag. In Restaurants ersetzen sie zum Beispiel die klassische Speisekarte. Jetzt haben Cyberkriminelle QR-Codes für sich entdeckt. Bild: Unsplash/
John Tuesday

Was ist Quishing?

Der Begriff Quishing ist eine Kombination aus den Bezeichnungen „QR-Code“ und „Phishing“, beschreibt eine raffinierte Betrugsmasche, die Nutzer über QR-Codes auf gefälschte Websites lockt. Diese Websites imitieren oft das Design seriöser Seiten, wie zum Beispiel das Online-Banking einer Bank oder den Login-Bereich eines bekannten Online-Shops.

Sobald das Opfer den manipulierten QR-Code scannt und die gefälschte Website öffnet, wird es zur Eingabe persönlicher Daten wie Passwörter, Kreditkarteninformationen oder Bankkontodaten aufgefordert. Diese sensiblen Informationen landen dann direkt in den Händen der Betrüger, die sie für Identitätsdiebstahl, Überweisungen oder andere kriminelle Aktivitäten missbrauchen können.

Möglich ist aber auch, dass Opfer auf eine Webseite geführt würden, über die Schadsoftware auf das Smartphone heruntergeladen wird. Hier kann es das Ziel der Angreifer sein, mit Hilfe der Malware auf dem Gerät selbst oder im (Firmen-)Netzwerk sensible Informationen abzugreifen.

Wie funktioniert Quishing?

Um vor dem neuartigen QR-Code-Scamming gewappnet zu sein, macht es Sinn, sich einmal genauer anzusehen, wie Cyberkriminelle ihre Opfer mit Quishing Schritt für Schritt in die Falle locken. Hier unser Überblick über das Vorgehen:

  1.  Lockangebot mit QR-Code:
    Die Betrüger platzieren gefälschte QR-Codes zum Beispiel an öffentlichen Orten wie Bushaltestellen, Einkaufszentren oder in sozialen Medien. Sie tarnen die Codes geschickt, indem sie sie auf Plakaten, Flyern oder in scheinbar harmlosen Beiträgen verstecken. So wecken sie die Neugier der Opfer und verleiten sie zum Scannen des Codes.
  2. Scannen mit dem Smartphone:
    Ahnungslose Nutzer scannen den QR-Code mit ihrem Smartphone oder Tablet – meist ohne jegliches Misstrauen, denn QR-Codes sind längst Teil des Alltag. In vielen Restaurants beispielsweise haben QR-Codes die klassischen Speisekarten ersetzt.
  3. Umleitung auf gefälschte Website:
    Der gescannte QR-Code leitet das Opfer auf eine gefälschte Website, die meist täuschend echt der vertrauten Website eines seriösen Unternehmens nachempfunden ist. Das Design, Logo und die Farben der gefälschten Seite können dem Original so ähnlich sein, dass das Opfer den Betrugsversuch nicht erkennt.
  4. Eingabe persönlicher Daten oder Download von Malware:
    Auf der gefälschten Website wird das Opfer dazu aufgefordert, persönliche Daten einzugeben. Dies können Login-Daten für Online-Banking oder Online-Shopping, Kreditkarteninformationen oder Bankkontodaten sein. Häufig greifen die Angreifer dabei auf Social-Engineering-Techniken zurück, um das Opfer zur Eingabe seiner Daten zu bewegen. Sie erzeugen zum Beispiel Zeitdruck, indem sie behaupten, dass das Konto des Opfers gesperrt wird, wenn es die Daten nicht sofort eingibt. Möglich ist aber auch, dass keine Daten abgefragt werden, sondern zum Download von Schadsoftware verleitet wird,
  5. Datendiebstahl und Missbrauch:
    Sobald das Opfer seine persönlichen Daten eingegeben hat, werden diese von den Betrügern abgefangen und auf ihren Servern gespeichert. Mit diesen Daten können sie dann unter anderem zum Identitätsdiebstahl oder für Online-Einkäufe auf Kosten des Opfers nutzen. War dagegen das Herunterladen von Schadsoftware das Ziel der Angreifer, könnten sie den Zugriff auf das Smartphone nutzen, um Daten auszuspionieren und zu missbrauchen oder aber um sich Zugang zu einem (Unternehmens-)Netzwerk zu verschaffen.

Wenn man bedenkt, wie selbstverständlich es heutzutage ist, dass man mal eben schnell einen QR-Code scannt, um weitere Informationen zu erhalten, hat diese Masche aus Sicht der Angreifer großes Potenzial – und auch für Unternehmen kann sie gefährlich werden.

Zu sehen sind Hände, die einen QR-Code auf einem kleinen Karton kleben. Handelt es sich um Quishing? Bild: Pexels/Kampus Production

Angreifer können QR-Codes strategisch platzieren, um sie für Quishing zu nutzen. Die Möglichkeiten sind wie bei vielen Cyberbedrohungen wieder einmal vielfältig. Bild: Pexels/Kampus Production

QR-Code-Scam: auch für Unternehmen gefährlich

Quishing ist nicht nur für Privatpersonen, sondern auch für Unternehmen ein ernstzunehmendes Risiko. Denn: Auch Mitarbeiter mit oder ohne Firmenhandy könnten zum Opfer von QR-Code-Scamming werden. Scheinbar liegt der Fokus der Cyberkriminellen derzeit (noch) nicht auf Opfern aus dem Unternehmensumfeld, allerdings könnte sich das sehr schnell ändern – immerhin sind Unternehmen das bevorzugte Ziel vieler Angreifer.

Denkbar wäre zum Beispiel, dass Angreifer Flyer im B2B-Kontext mit attraktiven Angeboten an Unternehmen senden – in der Hoffnung, dass ein Mitarbeiter mit seinem Firmenhandy den enthaltenen QR-Code scannt und Malware auf das Gerät lädt. Gegebenenfalls könnte dies ein Einfallstor ins Firmennetzwerk sein. Genauso könnte es das Ziel sein, dass ein Mitarbeiter auf einer gefälschten Website sensible Daten eingibt – beispielsweise die Zugangsdaten für das Firmennetzwerk, Kreditkartendaten des Unternehmens oder andere sensible Informationen.

Sobald die Betrüger derartige Daten in ihren Händen haben, können sie damit großen Schaden anrichten. Möglich wäre, dass sie auf sensible Unternehmensdaten zugreifen, die Kreditkarte des Mitarbeiters belasten oder sogar das gesamte Firmennetzwerk lahmlegen.

So schützen Sie sich vor QR-Code-Scamming!

Wichtig ist vor diesem Hintergrund, dass Unternehmen Maßnahmen ergreifen, um sich und ihre Mitarbeiter vor QR-Code-Scamming zu schützen. Wir haben einige Tipps für sinnvolle Maßnahmen für Sie zusammengestellt!

Sensibilisieren Sie Ihre Mitarbeiter:

  • Informieren Sie Ihre Mitarbeiter über die Gefahr von QR-Code-Scamming und raten Sie ihnen zur Vorsicht, wenn es darum geht, QR-Codes zu scannen.
  • Weisen Sie Ihre Mitarbeiter darauf hin, dass sie niemals persönliche Daten wie Passwörter, Kreditkarteninformationen oder Bankkontodaten auf unbekannten Websites eingeben.

Stellen Sie klare Richtlinien auf:

  • Definieren Sie klare Regeln für die Nutzung von QR-Codes im Unternehmen, insbesondere auf Firmenhandys.
  • Weisen Sie Ihre Mitarbeiter darauf hin, dass Sie QR-Codes aus unzuverlässigen Quellen nicht scannen sollten.
  • Legen Sie fest, wie Ihre Mitarbeiter mit verdächtigen QR-Codes umgehen sollen.

Implementieren Sie technische Schutzmaßnahmen:

  • Installieren Sie im Unternehmen und auf den Firmenhandys ein Virenschutzprogramm und eine Firewall.
  • Aktivieren Sie die automatische Aktualisierung von Betriebssystem und Apps.
  • Nutzen Sie ein Mobile-Device-Management (MDM), um die Endgeräte im Unternehmen zentral zu verwalten und zu sichern.

Bleiben Sie informiert:

  • Halten Sie sich über die neuesten Betrugsmaschen allgemein im Cybercrime und speziell im Bereich QR-Code-Scamming auf dem Laufenden.
  • Informieren Sie Ihre Mitarbeiter regelmäßig über neue Bedrohungen und Schutzmaßnahmen – auch im Rahmen von Security-Awareness-Schulungen.

Indem Sie diese Tipps befolgen und an Ihre Mitarbeiter kommunizieren, ist schon viel geschafft. Grundsätzlich gilt: IT-Sicherheit ist ein Thema, mit dem sich Unternehmen dauerhaft befassen müssen, denn die Bedrohungslandschaft befindet sich in einem stetigen Wandel.

IT-Experten sichern Unternehmen ab

Die Umsetzung der vorgestellten Maßnahmen zum Schutz vor Quishing kann für Unternehmen eine Herausforderung sein. Immerhin erfordern die technische Umsetzung und die Anpassung an neue Bedrohungen möglicherweise Fachwissen, das insbesondere in kleinen und mittelgroßen Unternehmen intern nicht vorhanden ist.

Hier kommen IT-Dienstleister ins Spiel. Sie unterstützen Unternehmen bei der Entwicklung und Umsetzung einer umfassenden IT-Sicherheitsstrategie, die sowohl technische als auch organisatorische Maßnahmen umfasst. Die Experten aus dem IT-SERVICE.NETWORK beispielsweise analysieren die IT-Infrastruktur, identifizieren Sicherheitslücken, entwickeln Schutzkonzepte, beraten und schulen Mitarbeiter, überwachen Systeme, reagieren auf Bedrohungen und halten die Infrastruktur auf dem neuesten Stand.

Auch bei der Umsetzung der mit Quishing verbundenen Schutzmaßnahmen können die IT-Systemhäuser aus unserem Netzwerk unterstützen, indem Sie ein Mobile-Device-Management einrichten und auf Wunsch auch das Monitoring der Geräte übernehmen. Sie möchten dazu oder zu weiteren Maßnahmen zum Schutz vor Cyberbedrohungen mehr erfahren? Dann kontaktieren Sie einen unserer IT-Dienstleister in Ihrer Nähe für ein unverbindliches Erstgespräch!


Weiterführende Informationen:
BSI, PC-WELT, it-daily, Microsoft, kaspersky
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.

Geschrieben von

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich – anfangs in der Position der Online-Redakteurin und inzwischen als Content Marketing Managerin. Die studierte Germanistin/Anglistin und ausgebildete Redakteurin behält das Geschehen auf dem IT-Markt im Blick, verfolgt gespannt neue Trends und Technologien und beobachtet aktuelle Bedrohungen im Bereich des Cybercrime. Die relevantesten… Weiterlesen

Fragen zum Artikel? Frag den Autor
2 Kommentare

Schupp, 15. Juli 2024 um 9:05

Hallo, ich finde ihren Artikel „Cybercrime macht erfinderisch“ sehr interessant und würde gerne Auszüge davon in dem EDV Channel unserer Mitarbeiter-App zur Mitarbeitersensibilisierung nutzen. Ihr Einverständnis vorausgesetzt . Dass ich diesen mit einer Quellenangabe versehen werde ist selbstredend. MfG Schupp

Antworten

    IT-SERVICE.NETWORK-Team, 15. Juli 2024 um 13:21

    Hallo,

    es freut uns sehr, dass Sie unseren Artikel als hilfreich empfinden! Gern können Sie Auszüge davon intern verwenden, sofern Sie die Quelle nennen (und die Publikation nicht von Google auffindbar ist)! Wenn Sie Unterstützung bezüglich der Mitarbeitersensibilisierung benötigen, melden Sie sich gern bei einem IT-Dienstleister aus unserem Netzwerk!

    Viele Grüße
    Ihr IT-SERVICE.NETWORK-Team

    Antworten

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

DSGVO-Bußgelder

Verstoß gegen Datenschutz wird teuer

von • 18.11.2024

Die DSGVO-Bußgelder galten lange Zeit eher als möglich statt real. Inzwischen hat sich das aber geändert: Immer häufiger werden DSGVO-Verstöße geahndet. Wir erklären, wie real die Angst vor ...

Weiterlesen
IT-Sicherheit

BSI-Lagebericht 2024

Lage der IT-Sicherheit in Deutschland bietet Anlass zu Sorge

von • 13.11.2024

Die Cybersicherheitslage in Deutschland ist besorgniserregend. Laut dem BSI-Lagebericht 2024 sind vor allem Ransomware, Schwachstellen in IT-Systemen und gezielte Cyberangriffe für die kritische Lage...

Weiterlesen
IT-Sicherheit

Cyber Resilience Act

Damit Unternehmen auf sichere IT-Produkte vertrauen können

von • 30.10.2024

Der Cyber Resilience Act ist beschlossene Sache! Das Gesetz stellt neue Sicherheitsanforderungen für digitale Produkte aus und soll Unternehmen und Privatnutzer vor „unsicheren“ IT-Produkten sch...

Weiterlesen