Aktuelles, Branche - geschrieben von dp am Donnerstag, August 14, 2025 10:01 - noch keine Kommentare
Quishing: Neue QRC-Betrugsmasche aus den USA könnte bald auch Deutschland erreichen
Unaufgefordert versenden Betrüger Postpakete an ihre Opfer – statt mit Namen und Adresse des Absenders versehen sie ihre Sendungen mit einem QRC, der auf eine getarnte Phishing-Website weitergeleitet oder einen gut getarnten Malware-Download wird initiiert
[datensicherheit.de, 14.08.2025] In den USA hat vor wenigen Tagen das FBI eine Warnung vor einer neuen Betrugsmasche mittels sogenanntem Quishing ausgesprochen: Unaufgefordert versenden demnach Betrüger dort Postpakete an ihre Opfer. Statt mit Namen und Adresse des Absenders versehen sie ihre Sendungen dabei mit einem QR-Code (QRC). „Scannt ihr Opfer diesen ein – im Glauben, hierdurch Informationen zur Identität des Absenders zu erhalten – wird es dann entweder auf eine getarnte Phishing-Website weitergeleitet oder ein gut getarnter Download von Malware wird initiiert“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. Er warnt vor dieser Masche, welche in den kommenden Monaten leicht auch nach Deutschland überschwappen könne.
Foto: KnowBe4
Dr. Martin J. Krämer legt nahe: Insbesondere Unternehmen müssten sich noch mehr einbringen und ihre Angestellten – durch Schulungen und Trainings – noch stärker gegen Betrugsversuche von Cyberkriminellen wappnen!
Auch in Deutschland setzen Betrüger bereits auf Phishing mittels QRC
Auch in Deutschland setzten Betrüger schon seit geraumer Zeit zunehmend auf Quishing – das Phishing mittels QRC. Besonders häufig komme diese Angriffstechnik hierzulande bislang vor allem an Orten mit starkem Publikumsverkehr und hoher QRC-Dichte vor – etwa an Bahnhöfen und Bushaltestellen, an Werbeplakaten, an Parkscheinautomaten und E-Ladesäulen.
- Die Betrüger überklebten einfach die originalen QR-Codes seriöser Unternehmen mit ihren eigenen QRCs, welche ihre Opfer dann auf gut getarnte Phishing-Webseiten weiterleiteten.
Auch über reguläre Briefe und E-Mails würden Quishing-QRCs hierzulande aber zunehmend versandt. „Im Falle Letzterer nutzen die Cyberkriminellen eine bei vielen E-Mail-Sicherheitslösungen nach wie vor vorhandene Schwachstelle aus. E-Mails können sie zwar auf das Vorhandensein verdächtiger Anhänge und URLs prüfen – einen QR-Code, der in eine E-Mail eingebunden ist, meist aber eher nicht.“ Viele Sicherheitsprogramme interpretierten QRCs als einfache Bilder und ließen diese E-Mails dann unbeanstandet in das Postfach des Opfers wandern.
Betrüger versenden unaufgefordert Pakete mit einem QRC-Modell 1 bestückt
Im jüngsten Fall der USA versendeten die Betrüger nun unaufgefordert Pakete, welche sie zuvor mit einem QRC-Modell 1 bestückt hätten. Ein Scan führe das Opfer dann entweder auf eine getarnte Phishing-Webseite, „die es dazu auffordert, persönliche Informationen preiszugeben, oder lässt das Endgerät des Opfers Mal- und Spyware herunterladen, um dann in der Folge persönliche Daten einzusehen oder sogar zu stehlen“.
- Letztlich handele sich bei dieser neuartigen Quishing-Masche um eine Variante des „Brushing-Betrugs“, der schon seit einigen Jahren unter betrügerischen Online-Händlern gang und gäbe sei. Diese sendeten eigenständig Waren an einen Empfänger – ohne, dass dieser diese bestellt hätte – und verwendeten die Daten des Empfängers dann, um sich positive Produkt- und Lieferbewertungen zu erschleichen und ihre offiziellen Verkaufszahlen in die Höhe zu treiben.
„Bei dieser Variante nun haben nicht betrügerische Online-Händler, sondern Cyberkriminelle die Hand im Spiel. Nicht die Manipulation von Marktdaten, sondern die Aneignung persönlicher Daten – die dann für weitergehende Folgeangriffe genutzt werden können – steht hier im Zentrum.“
FBI rät zur Vorsicht bei nicht bestellter Ware bzw. solcher mit QRC als Absenderadresse
Das FBI rate allen, wachsam zu sein, wenn sie Pakete mit Waren erhalten, „die Sie nicht bestellt haben oder die einen QR-Code statt einer Absenderadresse tragen“. Diese neueste Quishing-Betrugsmasche mache deutlich, dass Cyberangriffe immer tiefer in unser aller physischen Alltag vordrängen.
- Krämer betont: „Es führt kein Weg daran vorbei: Die Gesellschaft muss sich noch mehr mit Phishing, Social-Engineering und (Online-)Betrug beschäftigen! Sie muss aktiver werden, selbständig verdächtiges Online-Verhalten erkennen und melden.“ Dies werde aber nur gelingen, „wenn Unternehmen sich noch mehr einbringen und ihre Angestellten – durch Schulungen und Trainings – noch stärker gegen Betrugsversuche von Cyberkriminellen wappnen“.
Effektiv helfen könne ihnen hierbei ein modernes „Human Risk Management“. Dessen Phishing-Trainings, -Schulungen und -Tests ließen sich, KI-basiert, mittlerweile personalisieren und automatisiert zum Einsatz bringen. Seine moderne Anti-Phishing-E-Mail-Technologien kombinierten – um selbst neuste „Zero Day“-Bedrohungen aufzuspüren und zu neutralisieren – KI mit „Crowdsourcing“. Mit solchen und ähnlichen Systemen werde es Unternehmen möglich sein, die „Human Risks“ ihrer Belegschaft zurückzufahren und ihre Mitarbeiter zu ihrer besten Verteidigung im Kampf gegen Cyberbedrohungen zu machen.
Weitere Informationen zum Thema:
knowbe4
KnowBe4 News und Wissenswertes / Dr. Martin J. Krämer / Recent Posts
KnowBe4
The Future of Phishing Defense: AI Meets Crowdsourcing
FEDERAL BUREAU OF INVESTIGATION, 31.07.2025
Alert Number: I-073125-PSA / Unsolicited Packages Containing QR Codes Used to Initiate Fraud Schemes
datensicherheit.de, 06.12.2024
KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch / HR- und IT-bezogene Phishing-E-Mails machen signifikanten Anteil von 48,6 Prozent der weltweit am häufigsten angeklickten Phishing-Typen aus
datensicherheit.de, 08.11.2024
Sophos X-Ops analysieren Cyber-Attacken per Quishing / „Quishing“ (Phishing mit QR-Codes) offensichtlich ein Cybercrime-Trend mit zunehmender Bedeutung
datensicherheit.de, 26.03.2024
Quishing: QR-Code-Phishing-Angriffe noch immer eine unterschätzte Gefahr / Schutz gegen QR-Code-Phishing durch phishing-resistente MFA für die Konten
datensicherheit.de, 31.01.2024
Quishing-Update: QR-Code-Routing-Angriffe nehmen zu / Sicherheitsforscher von Check Point haben eine neue QRC-Angriffsart entdeckt
datensicherheit.de, 24.10,2023
Quishing: Zunahme von QR-Code-Phishing / Sicherheitsforscher von Check Point warnen vor neuer Art von Phishing-Angriffen
Kooperation
Mitgliedschaft
Mitgliedschaft
Multiplikator
Aktuelles, Experten - Aug. 14, 2025 10:12 - noch keine Kommentare
Humanoide Roboter: Ergänzung und Erweiterung bestehender Technologien statt deren Ersatz
weitere Beiträge in Experten
- Abu Dhabi equips „The Games of the Future 2025“ with a range of phygital disciplines
- „The Games of the Future 2025″: Abu Dhabi rüstet Spiele der Zukunft 2025 mit einer Reihe Phygital-Disziplinen aus
- 13. Expanded Conference in Linz: Erneut Schaufenster der internationalen digitalen Kunst- und Forschungsszene
- Bitkom: Weiterhin fehlen mehr als 100.000 IT-Fachkräfte in Deutschland
- Karlsruher Staatstrojaner-Urteil: Bitkom begrüßt Entscheidung des Bundesverfassungsgerichts
Aktuelles, Branche - Aug. 14, 2025 10:25 - noch keine Kommentare
Armis rät Flughäfen dringend, ihre Cybersicherheit auf den Prüfstand zu stellen
weitere Beiträge in Branche
- Quishing: Neue QRC-Betrugsmasche aus den USA könnte bald auch Deutschland erreichen
- Laut Veeam-Ransomware-Bericht für das zweite Quartal 2025 Zunahme der Attacken und Lösegeldzahlungen
- FIDO-Authentifizierung: Proofpoint meldet Entdeckung einer Sicherheitslücke
- IT-Unsicherheit im Hotel: 5 Angriffsmethoden auf Gäste
- Alles hat ein Ende – auch Windows 10
Aktuelles, Branche, Umfragen - Juli 9, 2025 19:03 - noch keine Kommentare
DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
weitere Beiträge in Service
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
Kommentieren