Quishing: QR-Code-Phishing-Angriffe noch immer eine unterschätzte Gefahr

Schutz gegen QR-Code-Phishing durch phishing-resistente MFA für die Konten

[datensicherheit.de, 26.03.2024] „Wenn Sie bei Phishing sofort an E-Mails denken, sind Sie nicht allein. Allerdings sind diese nur eine von vielen Möglichkeiten, wie Phishing-Angriffe ablaufen können“, so Alexander Koch, „VP Sales EMEA“ bei Yubico, in seiner aktuellen Stellungnahme zum Thema „Quishing“. Aufgrund der relativ geringen Kosten und der hohen Erfolgsquote nutzten Cyber-Kriminelle diese Betrugsform sehr häufig. Während die meisten Phishing-Angriffe immer noch per E-Mail erfolgten, gebe es seit einiger Zeit bereits auch Betrugsversuche per Textnachricht oder sogar per Telefonanruf. „Aktuell ist jedoch eine neue Art von Phishing-Angriffen zu beobachten, und sie kommt aus einer unerwarteten Quelle: QR-Codes“, warnt Koch.

QR-Code-Phishing nutzt physische oder digitale QR-Codes, um Benutzer auf gefälschte Websites zu locken

QR-Code-Phishing, auch „Quishing“ genannt, nutze physische oder digitale QR-Codes, um Benutzer auf gefälschte Websites zu locken, die darauf abzielten, sensible Informationen zu stehlen oder ein Gerät mit Malware zu infizieren.

Koch erläutert: „Quishing nutzt eine weit verbreitete Technologie, was ein gewisses Grundvertrauen bei den Opfern mit sich bringt.“

Wie bei anderen Arten von Phishing werde genau dieses Vertrauen ausgenutzt, indem die Angreifer entweder neue, physische QR-Codes platzierten, oder gefälschte QR-Codes als Teil eines E-Mail- oder Text-Phishing-Angriffs versendeten.

Quishing-Angriff ähnelt prinzipiell bekannten Phishing-Attacken – nur eben unter Verwendung einer neuen Technologie

Koch beschreibt ein mögliches Gefahren-Szenario: „An der Tür einer Bank ist ein QR-Code angebracht. Wenn der QR-Code gescannt wird, wird der Benutzer aufgefordert, sich bei seinem Bankkonto anzumelden, um beispielsweise an einem Gewinnspiel teilzunehmen. Die legitim wirkende Website, auf die der Nutzer verwiesen wird, ist jedoch in Wirklichkeit betrügerisch, und alle eingegebenen persönlichen Daten und Kontoinformationen sind nun kompromittiert.“

Auch gerade digital sei Quishing schwer zu erkennen und gefährlich. Beispielweise erhalte ein Nutzer eine E-Mail von seinem Lieblingseinzelhändler mit einem QR-Code, um sich vermeintlich für ein neues Treueprogramm anzumelden. „Wenn der Benutzer den Code auf seinem Computerbildschirm scannt, wird er aufgefordert, seine persönlichen Daten einzugeben, einschließlich des Namens, Adresse, Benutzername und Passwort.“ Diese E-Mail enthalte aber ebenfalls einen gefälschten QR-Code und sei ein Phishing-Angriff, der allen anderen Formen von Phishing-Angriffen ähnele, nur eben unter Verwendung einer neuen Technologie. Diese Daten könnten nun verwendet werden, um auf die Website des Einzelhändlers und alle dort gespeicherten Informationen, einschließlich der Kreditkartendaten, zuzugreifen.

„Wenn dieses Passwort auf anderen Websites wiederverwendet wird, was 39 Prozent der Internetnutzer leider immer noch tun, könnte es in weiteren Fällen für Betrug verwendet werden“, betont Koch. Darüber hinaus könnten die persönlichen Daten auf dem Schwarzmarkt verkauft werden, um von Dritten für künftige kriminelle Handlungen genutzt zu werden.

Aktivierung phishing-resistenter MFA zum Schutz gegen QR-Code-Phishing

QR-Codes selbst könnten zwar nicht gekapert werden, aber es sei sehr einfach, einen neuen und betrügerischen QR-Code-Aufkleber über eine legitime Quelle zu legen oder digital über E-Mail an Nutzer heranzutreten. Koch rät: „Es ist daher wichtig zu prüfen, ob die Quelle seriös ist. QR-Codes aus einer unbekannten Quelle sollte nicht vertraut werden. QR-Codes, die per E-Mail zugestellt werden, sollten immer mit äußerster Vorsicht behandelt werden!“

Nutzer sollten, wo immer möglich, Konten mit Multi-Faktor-Authentifizierung (MFA) aktivieren, um den Erfolg von Phishing-Angriffen zu erschweren. Zwar sei jede Form von MFA besser als die Verwendung eines Benutzernamens und eines Passworts, aber nicht jede MFA sei gleich. „Effektiven Schutz bieten phishing-resistente MFA-Optionen wie gerätegebundene Passkeys – also Hardware-Sicherheitsschlüssel“, so Koch.

Abschließend empfiehlt er: „Für Websites, die noch keine phishing-sicheren Methoden unterstützen, sollten Nutzer einen seriösen Passwort-Manager wie ,1Password’ verwenden, um starke Anmeldedaten für jede Website zu erstellen und die Anmeldung auf verschiedenen Geräten zu erleichtern.“

Weitere Informationen zum Thema:

datensicherheit.de, 31.01.2024
Quishing-Update: QR-Code-Routing-Angriffe nehmen zu / Sicherheitsforscher von Check Point haben eine neue QRC-Angriffsart entdeckt

datensicherheit.de, 24.10,2023
Quishing: Zunahme von QR-Code-Phishing / Sicherheitsforscher von Check Point warnen vor neuer Art von Phishing-Angriffen

datensicherheit.de, 06.09.2022
Gefährlicher Trend: HTML-Phishing bei Cyber-Kriminellen zunehmend beliebter / HTML-Anhänge bei Phishing-Attacken häufig so gestaltet, dass sie wie Seiten offizieller Unternehmenswebsites aussehen