Quishing – unterschätzte Gefahr durch QR-Code-Phishing

Immer wieder warnt die Kapo St. Gallen vor Cybercrimedelikten. Eine neue Masche ist das Quishing, eine Betrugsmasche, bei der Cyberkriminelle manipulierte QR-Codes verwenden, um Nutzer auf gefälschte Webseiten zu locken.

Wie Quishing funktioniert und welche Möglichkeiten es gibt, sich vor den Angriffen zu schützen, hat Polizei.news in Kooperation mit der Kapo St. Gallen zusammengefasst.



Was ist Quishing?

Quishing, ein Kunstwort aus „QR-Code“ und „Phishing“, bezeichnet eine Betrugsmethode, bei der Cyberkriminelle manipulierte QR-Codes nutzen, um Nutzer auf gefälschte Websites zu locken oder Schadsoftware auf deren Geräte zu schleusen. Die Angriffsform gewinnt zunehmend an Bedeutung, da QR-Codes in vielen Lebensbereichen alltäglich genutzt werden. Sie finden sich in Restaurants für digitale Speisekarten, in Werbeanzeigen, auf Tickets, in E-Mails oder auch auf Rechnungen. Da die Codes auf den ersten Blick harmlos erscheinen und kaum hinterfragt werden, bieten sie Cyberkriminellen eine attraktive Möglichkeit, unbedarfte Nutzer in eine Falle zu locken.

Wie funktioniert Quishing?

Bei einem Quishing-Angriff platzieren Betrüger manipulierte QR-Codes auf Plakaten, Flyern, Webseiten oder in E-Mails. Die QR-Codes sehen aus wie gewöhnliche Codes und führen oft zu gefälschten Websites, die bekannten Online-Diensten ähneln. Die Opfer werden dazu verleitet, sich dort mit ihren Anmeldedaten einzuloggen, die dann von den Angreifern gestohlen werden. In anderen Fällen kann der Scan eines QR-Codes den automatischen Download von Schadsoftware auf ein Smartphone oder einen Computer auslösen. Diese Malware kann persönliche Daten ausspionieren, Zugangsdaten abgreifen oder sogar das gesamte Gerät lahmlegen.

Eine besonders perfide Methode ist das Überkleben echter QR-Codes mit manipulierten Varianten. In Restaurants oder öffentlichen Plätzen können Kriminelle leicht die originalen Codes ersetzen, sodass ahnungslose Nutzer statt auf die beabsichtigte Website auf eine gefälschte Phishing-Seite gelangen.


Quishing ist gefährlich, da manipulierte Codes nicht zu erkennen sind. (Bild: Billion Photos – shutterstock.com)

Warum ist Quishing so gefährlich?

  • Vertrauensvorschuss für QR-Codes: Viele Menschen nehmen an, dass QR-Codes grundsätzlich sicher sind. Da sie in offiziellen Kontexten wie Geschäften, Behörden oder Unternehmen verwendet werden, hinterfragt kaum jemand deren Echtheit. Diese unkritische Akzeptanz macht es Betrügern leicht, gefälschte Codes erfolgreich zu platzieren und Nutzer in eine Falle zu locken.
  • Tarnung gefälschter Links: Im Gegensatz zu herkömmlichen Phishing-E-Mails, bei denen Nutzer verdächtige Links oft erkennen können, sind QR-Codes schwerer zu analysieren. Ohne technische Hilfsmittel sieht man die eigentliche URL nicht direkt, bevor sie im Browser geöffnet wird. Dies bedeutet, dass sich Nutzer häufig auf den QR-Code verlassen, ohne zu wissen, wohin sie tatsächlich weitergeleitet werden.
  • Manipulation schwer erkennbar: Ein manipuliertes QR-Code-Plakat oder ein ausgetauschter Code ist für das menschliche Auge kaum von einem echten zu unterscheiden. In der realen Welt gibt es keine automatische Filterung oder Warnung, wie es bei E-Mail-Spam-Filtern der Fall ist. Dadurch bleiben viele dieser Angriffe unentdeckt, bis es zu spät ist.

In vielen Restaurants gibt es die Speisekarte über einen QR-Code. (Bild: Bilanol – shutterstock.com)

Betrug mit gefälschten Paketbenachrichtigungen

Eine besonders verbreitete Phishing-Methode sind gefälschte Paketbenachrichtigungen, die per E-Mail oder SMS verschickt werden. Die Nachricht suggeriert, dass eine Sendung auf ihre Zustellung wartet oder Zollgebühren beglichen werden müssen. Nutzer werden dann aufgefordert, einen QR-Code zu scannen, um den Lieferstatus zu überprüfen oder die Zahlung zu leisten. In Wahrheit führt der Code jedoch zu einer Phishing-Seite, die darauf abzielt, persönliche Daten oder Kreditkarteninformationen zu stehlen. Alternativ kann der Code auch eine schädliche App installieren, die das Gerät infiziert und sensible Informationen abgreift. Daher ist besondere Vorsicht geboten, wenn unerwartete Paketbenachrichtigungen eintreffen – vor allem, wenn diese zur Eingabe persönlicher Daten oder Zahlungen auffordern.

Wie kann man sich vor Quishing schützen?

  • Vorsicht beim Scannen unbekannter QR-Codes: Scannen Sie keine QR-Codes aus unsicheren oder unbekannten Quellen. Achten Sie darauf, ob der Code auf einem verdächtig wirkenden Aufkleber oder einem überklebten Original gedruckt wurde. In öffentlichen Bereichen wie Bushaltestellen, Restaurants oder Einkaufszentren ist besondere Vorsicht geboten, da hier häufig manipulierte QR-Codes auftauchen.
  • QR-Code-Scanner mit Sicherheitsfunktionen nutzen: Einige QR-Code-Scanner-Apps zeigen vor dem Öffnen die vollständige URL an, sodass Sie prüfen können, ob die Website seriös ist. Besonders hilfreich sind Scanner, die automatisch eine Warnung ausgeben, wenn eine verdächtige oder unsichere Website erkannt wird. Es lohnt sich, eine solche App zu installieren, anstatt den Standard-QR-Code-Scanner zu verwenden, der oft keine Sicherheitsüberprüfung bietet.
  • Auf HTTPS und die richtige Domain achten: Nach dem Scannen eines QR-Codes sollten Sie die URL im Browser sorgfältig prüfen. Achten Sie auf Tippfehler oder subtile Änderungen in der Webadresse, die darauf hindeuten könnten, dass es sich um eine gefälschte Seite handelt. Eine legitime Seite sollte stets mit „https://“ beginnen und eine bekannte Domain haben. Wenn die Domain unbekannt oder ungewöhnlich aussieht, ist es ratsam, den Besuch der Seite abzubrechen.
  • Keine sensiblen Daten auf QR-Code-Seiten eingeben: Seien Sie misstrauisch, wenn eine über QR-Code geöffnete Website nach Passwörtern, Kreditkartendaten oder persönlichen Informationen fragt. Unternehmen und Behörden fordern solche sensiblen Daten in der Regel nicht über QR-Codes an. Falls Sie sich unsicher sind, geben Sie die Webadresse manuell in den Browser ein, anstatt dem QR-Code zu vertrauen.
  • Regelmässige Software-Updates durchführen: Ein aktuelles Betriebssystem und Antivirensoftware können dabei helfen, Schadsoftware frühzeitig zu erkennen und Angriffe zu verhindern. Cyberkriminelle nutzen oft Sicherheitslücken in veralteter Software aus, um Malware zu installieren. Stellen Sie sicher, dass Ihr Smartphone und Ihr Computer regelmässig Updates erhalten und über aktuelle Sicherheitsmassnahmen verfügen.

Quishing als unterschätze Gefahr unbedingt beachten

Quishing ist eine wachsende Bedrohung, die oft unterschätzt wird. Da QR-Codes aus dem Alltag kaum noch wegzudenken sind, nutzen Kriminelle diese Technik gezielt aus, um persönliche Daten zu stehlen oder Schadsoftware zu verbreiten. Um sich effektiv vor Quishing zu schützen, ist es wichtig, QR-Codes bewusster zu scannen und grundlegende Sicherheitsmassnahmen zu beachten. Achten Sie stets darauf, woher ein QR-Code stammt, überprüfen Sie die URL, bevor Sie eine Website aufrufen, und geben Sie keine sensiblen Daten ein, wenn Ihnen eine Seite verdächtig vorkommt. Mit diesen Vorsichtsmassnahmen können Sie sich vor Betrugsversuchen schützen und sicherer im digitalen Raum agieren.

Falls Sie Opfer eines Quishing-Angriffs geworden sind oder sich beraten lassen möchten, können Sie sich an die Kantonspolizei St. Gallen wenden. Die Mitarbeitenden bieten Unterstützung und Informationen zu digitalen Betrugsfällen.

 

Titelbild: panuwat phimpha – shutterstock.com

Für St.Gallen

Publireportagen

Empfehlungen

MEHR LESEN