QR-Codes sind in unserem Alltag überall zu finden – ob in Restaurants, an Bahnhöfen, auf Werbeplakaten oder in Briefen, sie bieten eine bequeme Möglichkeit, schnell auf Informationen und Dienstleistungen zuzugreifen. Doch genau diese Bequemlichkeit machen sich Cyberkriminelle zunutze, um über das so genannte “Quishing” (QR-Code-Phishing) persönliche Daten zu stehlen und Schadsoftware zu verbreiten. In diesem Blogbeitrag erklären wir, wie Quishing funktioniert, welche Risiken es birgt, zeigen aktuelle Fallbeispiele und geben Ihnen praktische Tipps, um sich davor zu schützen.
Was ist QR-Code-Phishing?
QR-Code Phishing, auch bekannt als Quishing, ist eine raffinierte Betrugsmethode, bei der Cyberkriminelle gezielt versuchen, Nutzer dazu zu bringen, manipulierte QR-Codes zu scannen. Wie beim klassischen E-Mail Phishing führen diese Codes zu täuschend echten, aber betrügerischen Websites. Auf diesen sollen persönliche Daten wie Zugangsdaten oder Zahlungsinformationen gestohlen werden oder es werden gefährliche Downloads angeboten, um Ihr Gerät zu infizieren. Mehr zu den Themen Smishing und Phishing-Mails finden Sie in unserem Cyber-Security-Blog.
Während das Bewusstsein über Phishing per E-Mail, SMS oder Telefon bei den meisten Menschen mittlerweile vorhanden ist, bleibt Quishing als Betrugsmasche bei vielen noch unbekannt. Die Gefahr ist auf dem ersten Blick schwer zu erkennen und gängige Schutzmaßnahmen greifen oft nicht. Das macht Quishing zu einer besonders gefährlichen Phishing-Variante.
Warum ist Quishing attraktiv?
QR-Codes haben sich als effektives Werkzeug für Betrüger erwiesen, da sie viele Sicherheitsmaßnahmen umgehen und die Opfer leicht in die Falle tappen. Während viele Nutzer im Umgang mit verdächtigen Links in E-Mails mittlerweile sehr vorsichtig geworden sind, wird QR-Codes oft nicht die gleiche Vorsicht entgegengebracht. Beim Scannen stellt sich nur selten die Frage, wohin der Code denn nun wirklich führt.
An öffentlichen Orten können gefälschte QR-Codes leicht verbreitet werden, indem beispielsweise legitime QR-Codes überklebt werden. Die Gefahr ist somit nicht direkt erkennbar. Statt der offensichtliche Phishing-Links innerhalb von E-Mails, verwenden Kriminelle QR-Codes, um schädliche URLs zu verbergen. Da der eigentliche Link vor dem Scannen nicht sichtbar ist, ist es schwierig, die Gefahr zu erkennen. Zudem sind viele Sicherheitslösungen auf die Überprüfung von Textinhalten in E-Mails ausgelegt, während QR-Codes als Bilddateien oft nicht gescannt werden. Schädliche Weiterleitungen können somit verborgen bleiben. Daher können QR-Codes in E-Mails herkömmliche Sicherheitsmechanismen wie Spam-Filter oder URL-Scanner umgehen.
Aktuelle Beispiele für QR-Code-Betrug
In Landau (Rheinland-Pfalz) warnten Behörden vor der neuen Betrugsmasche “Quishing”. Hierbei wurden gefälschte QR-Codes an Parkscheinautomaten, Ladesäulen für E-Autos und in betrügerischen Bankbriefen angebracht. Nutzer, die diese Codes scannten, wurden auf falsche Webseiten geleitet, wo ihre Bankdaten abgegriffen wurden.
Nach Angaben des Landeskriminalamtes Niedersachsen sind derzeit betrügerische Schreiben im Umlauf, die angeblich von bekannten Banken wie Sparkasse, Commerzbank, Deutsche Bank und Targobank stammen. Die Betrugsmasche folgt einem ähnlichen Muster wie manipulierte QR-Codes an Geldautomaten oder Ladesäulen: Die Empfänger werden Schritt für Schritt dazu gebracht, ihre Online-Banking-Daten preiszugeben.
Ein aktueller Fall aus Meinerzhagen zeigt, wie gefährlich das Phishing mithilfe von QR-Codes mittlerweile geworden ist. Eine Frau bot in einem Kleinanzeigenportal ein Paar Schuhe an, als sie von einem vermeintlichen Käufer kontaktiert wurde. Er schickte ihr einen QR-Code, den sie zur Abwicklung der Zahlung einscannen sollte. Der Link führte jedoch zu einer gefälschten Seite, auf der sie aufgefordert wurde, die Daten ihrer Kreditkarte einzugeben. Erst als sie eine PushTan-Zahlung über 700 Euro freigeben sollte, wurde sie misstrauisch und brach den Vorgang ab. Die Polizei warnt vor dieser Betrugsmasche, die sich gezielt an Verkaufsplattformen richtet. Die Betrüger versenden gefälschte Links oder QR-Codes in der Zahlungsabwicklung, die die Nutzer auf Phishing-Seiten führen.
So können Sie sich vor Quishing schützen
- Überprüfen Sie die Quelle des QR-Codes: Scannen Sie nur QR-Codes von vertrauenswürdigen Quellen. Seien Sie besonders vorsichtig bei QR-Codes in öffentlichen Bereichen oder von unbekannten Absendern.
- Verwenden Sie eine QR-Code-Scanner-App mit Sicherheitsfunktionen: Einige Apps zeigen die URL nach dem Scannen des QR-Codes an, bevor sie den Link öffnen. Nehmen Sie sich einen Moment Zeit, um den Link sorgfältig zu prüfen – insbesondere auf Anzeichen für gefälschte URLs, wie Schreibfehler oder abweichende Domains. Falls Ihnen die Adresse verdächtig erscheint oder nicht zur erwarteten Website führt, geben Sie die gewünschte URL direkt in die Browserleiste ein, um potenzielle Phishing-Seiten zu vermeiden.
- Achten Sie auf verdächtige Aktivitäten nach dem Scannen: Wenn Sie nach dem Scannen eines QR-Codes ungewöhnliche Aufforderungen erhalten, wie die Eingabe persönlicher Daten oder das Herunterladen von Dateien, brechen Sie den Vorgang ab.
- Halten Sie Ihr Gerät und Ihre Sicherheitssoftware aktuell: Regelmäßige Updates können helfen, bekannte Sicherheitslücken zu schließen und Ihr Gerät zu schützen.
Seien Sie skeptisch gegenüber QR-Codes in E-Mails: Betrüger können QR-Codes in Phishing-E-Mails einbetten, die Sie zu gefälschten Websites führen. Vertrauen Sie nur E-Mails von Absendern, die Sie kennen, und überprüfen Sie die Echtheit, bevor Sie QR-Codes scannen. Bestehen Zweifel, sollten Sie den Absender kontaktieren.
Fazit
QR-Codes sind ein praktisches Werkzeug im Alltag, doch ihre Nutzung birgt auch Risiken. Cyberkriminelle nutzen die Unsichtbarkeit des QR-Code-Inhalts, um ahnungslose Nutzer zu täuschen und an persönliche Daten zu gelangen oder Schadsoftware zu verbreiten. Durch bewussten und vorsichtigen Umgang mit QR-Codes sowie den Einsatz geeigneter Sicherheitsmaßnahmen können Sie sich effektiv vor QR-Code-Phishing schützen. Bleiben Sie wachsam und informieren Sie sich regelmäßig über aktuelle Betrugsmethoden, um Angriffe dieser Art zu vermeiden.
Suchen Sie Experten im Bereich IT-Sicherheit, Informationssicherheit und Datenschutz? Unser Team von itsecuritycoach steht Ihnen bei allen Fragen und Belangen rund um diese Themen zur Seite. Kontaktieren Sie uns – das erste Beratungsgespräch ist kostenlos!
Quellen:
https://www.computerweekly.com/de/definition/QR-Code-Phishing
https://www.ncsc.gov.uk/blog-post/qr-codes-whats-real-risk
https://consumer.ftc.gov/consumer-alerts/2023/12/scammers-hide-harmful-links-qr-codes-steal-your-information
