Quishing ist ein Phishing-Angriff, bei dem QR-Codes verwendet werden, um Menschen zum Besuch schädlicher Websites oder zum Herunterladen von Malware zu verleiten. Cyberkriminelle nutzen die Vielseitigkeit von QR-Codes, die Links, Dokumente oder Zahlungsportale enthalten können, um Menschen zu täuschen.

Während der Covid-19-Pandemie etablierte sich ein kleines, schwarz-weißes Quadrat fest zwischen Impf-Selfies und Ausgangssperren: der QR-Code. Kurz zuvor noch totgeglaubt und kaum einen Griff zum Smartphone wert, wurde er nun schnell zu einer Art Allzweckwerkzeug. Schnelltests, Warn-Apps, Impfscheine, Bahntickets, kontaktlose Zahlungen… oder kurz gesagt: das Tor zum normalen Leben. Es ist eine bekannte Tatsache, dass es kein Licht ohne Schatten gibt. Und so ist das Gefahrenpotenzial, das in dieser unscheinbaren kleinen Box steckt, erschreckend.

Quishing: Das verhängnisvolle Comeback des QR-Codes

QR steht für „Quick Response Code“. Der zweidimensionale Barcode scheint das natürliche und organische Ergebnis unseres Wunsches zu sein, auf alles so schnell und einfach wie möglich zuzugreifen – mit allem, was nur einen Scan entfernt ist. Er ermöglicht die sofortige Übertragung großer Mengen an Informationen. Sowohl seine Benutzerfreundlichkeit als auch die Pandemie haben als Katalysator für eine neue Art von Phishing-Angriffen gewirkt: das so genannte Quishing, ein Begriff, der „QR“ und „Phishing“ kombiniert.

Bei herkömmlichen Phishing-Angriffen nutzen Cyberkriminelle dubiose E-Mails, Sofortnachrichten oder Websites, um nach Passwörtern und anderen persönlichen Daten zu fischen.

Bei Quishing-Angriffen machen sich Kriminelle die oben genannten Eigenschaften von QR-Codes zunutze, um hinter den schwarz-weißen Karos trügerische Informationen zu verstecken. Quishing-E-Mails werden in der Regel mit großer Sorgfalt – man könnte sogar sagen: liebevoll – gestaltet. Sie werden so gestaltet, dass sie authentisch aussehen. Offenbar ist es bei Cyberkriminellen nicht mehr in Mode, potenzielle Opfer mit der Nachricht von einer millionenschweren Erbschaft zu locken. Auch wenn einige der potenziellen Empfänger sicherlich gerne eine imaginäre Reise zu einer traumhaften Sommerresidenz in Saint-Tropez unternehmen würden, besonders in den dunklen Wintermonaten.

Die Cyberkriminellen von heute bevorzugen einen subtilen Ansatz. Sie zielen auf die Schwächen des menschlichen Geistes. Das Gefühl der unerträglichen Qual, wenn man sich mit lästigen Vorgängen herumschlagen muss. Also drohen sie damit, ein Bankkonto oder das Benutzerkonto eines bevorzugten Online-Shops zu schließen.

Berührungslose Empfängnis, gefolgt vom Fall

Herkömmliche Sicherheitsmechanismen scannen nur Standardanhänge und URLs. Diese Maßnahmen versagen jedoch in der Regel bei QR-Codes. Zu den beliebtesten Schemata gehören Aufforderungen, eine aktualisierte Datenrichtlinie zu akzeptieren, oder Aufforderungen, ein neues Sicherheitsverfahren einzurichten. Und natürlich kann dies alles einfach und bequem durch das Scannen eines QR-Codes erledigt werden. Der kriminelle Werkzeugkasten enthält sogar wichtige Dokumente, die Sie mühelos über einen QR-Code herunterladen können.

Es ist verständlich, dass die Empfänger diese unangenehme Mischung aus Emotionen so schnell wie möglich loswerden wollen: den Eindruck, zum Handeln gezwungen zu sein, kombiniert mit dem Wunsch, sich jetzt erfreulicheren Dingen zuzuwenden. Aber wer genießt nicht gerne das Gefühl der Produktivität, nachdem er sich um das lästige Bankproblem gekümmert hat? Das Scannen des Codes ist nur eine Frage von Sekunden – oft mit katastrophalen Folgen. Anders als im Fall der Heiligen Maria kann diese kontaktlose Empfängnis zur Sünde werden.

Muränen auf der Lauer nach Daten

Diejenigen, die den betrügerischen Aufforderungen nachkommen, finden sich auf gefälschten Websites wieder, die mit viel Liebe zum Detail erstellt wurden. Schließlich muss die Kopfzeile genau denselben königsblauen Farbton aufweisen wie das Volksbank-Logo, das von der Original-Website geklaut wurde. Es werden verschiedene Techniken eingesetzt, um bösartige Links zu verschleiern und Warnmeldungen zu umgehen. Eine gängige Methode besteht darin, Content-Management-Systeme wie WordPress und deren Plugins zu missbrauchen. Versteckt hinter gefälschten Landing Pages locken sie potenzielle Opfer in ihre Falle. Es gibt auch Berichte über Cyberkriminelle, die den Feed-Proxy-Server „FeedBurner“ von Google für Umleitungszwecke nutzen. Eine weitere gängige Praxis ist die Verwendung einer benutzerdefinierten Domain für die Umleitung und die Phishing-Website selbst. Die Gefahr ist groß – auch wenn die Malware-Abwehrsysteme keinen Alarm schlagen.

Sobald die perfekte Täuschung geschaffen ist, wollen Cyberkriminelle nur noch eines: persönliche Daten. Wie eine Muräne, die in ihrer Höhle lauert und darauf wartet, Benutzernamen und Passwörter zu ergattern. Zu viele Empfänger vergessen alle Vorsichtsmaßnahmen, wenn sich ihr Arbeitstag dem Ende zuneigt und ein Sundowner von der Terrasse zu ihnen ruft. Sie übersehen den zusätzlichen Buchstaben in der URL, und nur Sekunden später sind ihre Daten in die täuschend echt aussehende Registrierungsoberfläche eingegeben worden. Phishing-URLs, die auf Sparkassenkunden abzielen, beginnen oft mit ’spk-‚, während ‚vr-‚ ein gängiges Präfix für gefälschte Volksbank-Seiten ist.

Im beruflichen Umfeld besteht ein besonderes Risiko, wenn private Smartphones die internen Sicherheitsmechanismen eines Unternehmens umgehen. Quishing ist für diesen Zweck ideal geeignet. Sobald der gefährliche Code gescannt wurde, dringen bösartige Inhalte heimlich in das mobile Gerät ein. Von dort aus gelangen sie schnell in E-Mail-Postfächer, Kontaktdaten oder Dokumente, die über Cloud-Lösungen verwaltet werden. Das perfekte Einfallstor. Wenn ein solcher Angriff kritische Daten betrifft, ist es wahrscheinlich, dass sich das Feuer ausbreitet und Unternehmensressourcen infiziert. Eine Art von Malware, die in letzter Zeit besondere Aufmerksamkeit auf sich gezogen hat, ist Ransomware. Ihr Bedrohungspotenzial ist enorm. Eine unheimliche Notwendigkeit, und laut BSI (Bundesamt für Sicherheit in der Informationstechnik) vervielfacht sich ihre Schadenskapazität, wenn sie Unternehmensnetzwerke betrifft.

Bildschirm für Quilling-Proben

Quishing-E-Mails von der Volksbank & Sparkasse

Digitale Reginheris

Der Zweck von Ransomware ist es, Benutzerdaten zu verschlüsseln. Sobald dieser Prozess abgeschlossen ist, wird das Opfer mit einer Lösegeldforderung konfrontiert. Die Zahl der betroffenen Unternehmen ist schockierend hoch. Ihre IT- und Geschäftsprozesse werden gestört. Darüber hinaus drohen die Kriminellen oft damit, die Daten weiterzugeben oder zu verkaufen. Sie haben es auf Unternehmen jeder Art und Größe abgesehen. Laut dem Cyber Readiness Report von Hiscox aus dem Jahr 2022 zahlen 48% der deutschen Unternehmen nach einem solchen Angriff Lösegeld. Der erpresste Betrag liegt oft im sechsstelligen Euro-Bereich. Nach Angaben des BSI wurden jedoch in einigen Fällen auch achtstellige Beträge gefordert.

Viele Opfer sind schockiert, wenn sie feststellen, dass die Kriminellen weiterhin Forderungen stellen, selbst nachdem sie gezahlt haben. Man könnte meinen, dass die Täter einer mäßig spannenden Geschichtsdokumentation entsprungen sein könnten. Diese Szenarien erinnern an das Jahr 845, als der Wikingerführer Reginheri Paris belagerte. Karl der Kahle, König von Westfrankreich, entschied, dass Widerstand zwecklos sei und zahlte eine Summe von 7.000 Pfund Silber, damit sich die dänischen Truppen zurückzogen. Ähnlich wie ihre Kollegen im Cyberspace 1.200 Jahre später konnten auch die Nordmänner und Schildmaiden der Versuchung nicht widerstehen, weitere Zahlungen zu erpressen. Also setzten sie ihre Angriffe fort.

Moderne Kriminelle tragen vielleicht keine geflochtenen Bärte oder Streitäxte auf den Schultern, aber sie meinen es ernst mit ihren Forderungen, selbst wenn das Lösegeld bereits gezahlt wurde. Ob sie den Erpressungsversuchen nachgeben oder nicht, die Folgen sind in der Regel gravierend für Privatpersonen, Unternehmen und öffentliche Einrichtungen. Quishing kann massiven Schaden anrichten: Daten- und Reputationsverlust, Verstöße gegen die Datenschutzbestimmungen oder finanzielle Verluste, um nur einige zu nennen.

Wie kann ich mich vor Quishing schützen?

Die Frage hat vielleicht nicht das gleiche filmische Potenzial wie die Angriffe der Wikinger, aber sie ist genauso spannend: Wie können Sie sich vor Quishing schützen?

„Im Zweifelsfall sollten Sie keine QR-Codes scannen“ – das ist eine ziemlich offensichtliche, aber dennoch gültige Antwort. Probleme entstehen jedoch oft in Fällen, in denen es keine Zweifel zu geben scheint. Cyberkriminelle sind geschickt darin, tief verwurzelte menschliche Neigungen und Bedürfnisse auszunutzen, um Menschen zu manipulieren – das sogenannte Social Engineering. Es braucht nur einen Spritzer Unwissenheit, um den Cocktail der Katastrophe zu vervollständigen. Das macht es so schwierig, sich sicher zu schützen. Dennoch gibt es ein paar einfache Regeln, die helfen, das Risiko zu minimieren:

    • Behandeln Sie QR-Codes so, als wären sie Links. Ob Sie sie auf Guerilla-Kampagnenplakaten, auf Dokumenten oder in E-Mails finden, QR-Codes sind im Grunde genommen Links und bergen die gleichen Risiken.

    • Geben Sie keine sensiblen Daten ein. Seriöse Anbieter senden niemals eine E-Mail, in der Sie aufgefordert werden, vertrauliche Anmeldedaten anzugeben.

    • Überprüfen Sie immer die E-Mail-Adresse oder die Adressleiste des Browsers, wenn Sie bereits auf eine dubiose Webseite zugreifen.

    • Prüfen Sie E-Mails und Website-Inhalte sorgfältig. Amüsante Tippfehler sind kein besonderes Merkmal der Internetkriminalität mehr. Die meisten Texte sind gut formuliert. Dennoch nennt das BSI mehrere Merkmale, die Verdacht erregen sollten, auch wenn nur eines davon zutrifft:

    1. Dringender Handlungsbedarf

    1. Androhung schwerwiegender Konsequenzen für den Fall der Nichteinhaltung

    1. Aufforderung zur Eingabe sensibler Daten

    1. Die E-Mail enthält Links, QR-Codes oder Formulare

    1. Ungewöhnliche Anfragen von einer bekannten Person oder Organisation

    • Im Zweifelsfall sollten Sie dies über einen offiziellen Kommunikationskanal des betreffenden Dienstanbieters überprüfen .

    • Laden Sie niemals Dateien aus E-Mail-Anhängen oder von Websites herunter oder öffnen Sie sie, wenn Sie nicht absolut sicher sind, dass sie echt sind.

Verwenden Sie eine Zwei- oder Mehr-Faktor-Authentifizierung. Selbst wenn es Kriminellen gelingt, Ihre Daten in die Hände zu bekommen, fehlt ihnen immer noch ein zusätzlicher Faktor, um sich anzumelden.

Genau wie Bilder von Raucherlungen auf Zigarettenpackungen sind Angstmacherei und vereinfachte Verhaltensregeln nur mäßig erfolgreich – sie sind meist schon nach wenigen Tagen vergessen. Das bedeutet, dass die Informationssicherheit in die Unternehmensphilosophie integriert werden muss. Unser wichtigster Tipp ist daher, kontinuierliche Schulungen zum Thema Sicherheit durchzuführen und das Bewusstsein in Ihrem Unternehmen zu fördern. Denn die Unkenntnis der Mitarbeiter über diese Themen ist nach wie vor das größte Problem, wenn es um die verschiedenen Risiken im Zusammenhang mit Tabnabbing oder anderen Cyberangriffen geht. Erfahren Sie, wie unser Cyber Training Awareness Program für Mitarbeiter die Abwehrkräfte Ihres Unternehmens gegen Tabnabbing und andere Online-Bedrohungen stärken kann.