Aktuelles, Branche - geschrieben von dp am Dienstag, März 26, 2024 16:45 - noch keine Kommentare
Quishing: QR-Code-Phishing-Angriffe noch immer eine unterschätzte Gefahr
Schutz gegen QR-Code-Phishing durch phishing-resistente MFA für die Konten
[datensicherheit.de, 26.03.2024] „Wenn Sie bei Phishing sofort an E-Mails denken, sind Sie nicht allein. Allerdings sind diese nur eine von vielen Möglichkeiten, wie Phishing-Angriffe ablaufen können“, so Alexander Koch, „VP Sales EMEA“ bei Yubico, in seiner aktuellen Stellungnahme zum Thema „Quishing“. Aufgrund der relativ geringen Kosten und der hohen Erfolgsquote nutzten Cyber-Kriminelle diese Betrugsform sehr häufig. Während die meisten Phishing-Angriffe immer noch per E-Mail erfolgten, gebe es seit einiger Zeit bereits auch Betrugsversuche per Textnachricht oder sogar per Telefonanruf. „Aktuell ist jedoch eine neue Art von Phishing-Angriffen zu beobachten, und sie kommt aus einer unerwarteten Quelle: QR-Codes“, warnt Koch.
QR-Code-Phishing nutzt physische oder digitale QR-Codes, um Benutzer auf gefälschte Websites zu locken
QR-Code-Phishing, auch „Quishing“ genannt, nutze physische oder digitale QR-Codes, um Benutzer auf gefälschte Websites zu locken, die darauf abzielten, sensible Informationen zu stehlen oder ein Gerät mit Malware zu infizieren.
Koch erläutert: „Quishing nutzt eine weit verbreitete Technologie, was ein gewisses Grundvertrauen bei den Opfern mit sich bringt.“
Wie bei anderen Arten von Phishing werde genau dieses Vertrauen ausgenutzt, indem die Angreifer entweder neue, physische QR-Codes platzierten, oder gefälschte QR-Codes als Teil eines E-Mail- oder Text-Phishing-Angriffs versendeten.
Quishing-Angriff ähnelt prinzipiell bekannten Phishing-Attacken – nur eben unter Verwendung einer neuen Technologie
Koch beschreibt ein mögliches Gefahren-Szenario: „An der Tür einer Bank ist ein QR-Code angebracht. Wenn der QR-Code gescannt wird, wird der Benutzer aufgefordert, sich bei seinem Bankkonto anzumelden, um beispielsweise an einem Gewinnspiel teilzunehmen. Die legitim wirkende Website, auf die der Nutzer verwiesen wird, ist jedoch in Wirklichkeit betrügerisch, und alle eingegebenen persönlichen Daten und Kontoinformationen sind nun kompromittiert.“
Auch gerade digital sei Quishing schwer zu erkennen und gefährlich. Beispielweise erhalte ein Nutzer eine E-Mail von seinem Lieblingseinzelhändler mit einem QR-Code, um sich vermeintlich für ein neues Treueprogramm anzumelden. „Wenn der Benutzer den Code auf seinem Computerbildschirm scannt, wird er aufgefordert, seine persönlichen Daten einzugeben, einschließlich des Namens, Adresse, Benutzername und Passwort.“ Diese E-Mail enthalte aber ebenfalls einen gefälschten QR-Code und sei ein Phishing-Angriff, der allen anderen Formen von Phishing-Angriffen ähnele, nur eben unter Verwendung einer neuen Technologie. Diese Daten könnten nun verwendet werden, um auf die Website des Einzelhändlers und alle dort gespeicherten Informationen, einschließlich der Kreditkartendaten, zuzugreifen.
„Wenn dieses Passwort auf anderen Websites wiederverwendet wird, was 39 Prozent der Internetnutzer leider immer noch tun, könnte es in weiteren Fällen für Betrug verwendet werden“, betont Koch. Darüber hinaus könnten die persönlichen Daten auf dem Schwarzmarkt verkauft werden, um von Dritten für künftige kriminelle Handlungen genutzt zu werden.
Aktivierung phishing-resistenter MFA zum Schutz gegen QR-Code-Phishing
QR-Codes selbst könnten zwar nicht gekapert werden, aber es sei sehr einfach, einen neuen und betrügerischen QR-Code-Aufkleber über eine legitime Quelle zu legen oder digital über E-Mail an Nutzer heranzutreten. Koch rät: „Es ist daher wichtig zu prüfen, ob die Quelle seriös ist. QR-Codes aus einer unbekannten Quelle sollte nicht vertraut werden. QR-Codes, die per E-Mail zugestellt werden, sollten immer mit äußerster Vorsicht behandelt werden!“
Nutzer sollten, wo immer möglich, Konten mit Multi-Faktor-Authentifizierung (MFA) aktivieren, um den Erfolg von Phishing-Angriffen zu erschweren. Zwar sei jede Form von MFA besser als die Verwendung eines Benutzernamens und eines Passworts, aber nicht jede MFA sei gleich. „Effektiven Schutz bieten phishing-resistente MFA-Optionen wie gerätegebundene Passkeys – also Hardware-Sicherheitsschlüssel“, so Koch.
Abschließend empfiehlt er: „Für Websites, die noch keine phishing-sicheren Methoden unterstützen, sollten Nutzer einen seriösen Passwort-Manager wie ,1Password’ verwenden, um starke Anmeldedaten für jede Website zu erstellen und die Anmeldung auf verschiedenen Geräten zu erleichtern.“
Weitere Informationen zum Thema:
datensicherheit.de, 31.01.2024
Quishing-Update: QR-Code-Routing-Angriffe nehmen zu / Sicherheitsforscher von Check Point haben eine neue QRC-Angriffsart entdeckt
datensicherheit.de, 24.10,2023
Quishing: Zunahme von QR-Code-Phishing / Sicherheitsforscher von Check Point warnen vor neuer Art von Phishing-Angriffen
datensicherheit.de, 06.09.2022
Gefährlicher Trend: HTML-Phishing bei Cyber-Kriminellen zunehmend beliebter / HTML-Anhänge bei Phishing-Attacken häufig so gestaltet, dass sie wie Seiten offizieller Unternehmenswebsites aussehen
Aktuelles, Experten - Apr 26, 2024 20:46 - noch keine Kommentare
eco-Stellungnahme zum Verschlüsselungsverbot – praktisch nicht umsetzbar und Verstoß gegen Grundrechte
weitere Beiträge in Experten
- Schleswig-Holstein: Datenschutzbericht 2023 vorgestellt
- Bundesdatenschutzgesetz: DSK-Stellungnahme zum Gesetzentwurf zur Änderung veröffentlicht
- Digitalministerkonferenz: Digitalverband Bitkom benennt Herausforderungen an die neue Institution
- Digitalministerkonferenz sollte Schnellboot der Digitalisierung in Deutschland sein
- World Cybercrime Index: Identifizierung globaler Brennpunkte der Cyber-Kriminalität
Aktuelles, Branche - Apr 26, 2024 20:54 - noch keine Kommentare
Soziale Medien: Booster oder Cyber-Achillesferse für Politiker
weitere Beiträge in Branche
- DORA ante portas: Verbindliche Richtlinie für das Risikomanagement im Finanzsektor rückt näher
- Generative KI: Jüngste Erkenntnisse von Check Point Research zur Gefahr für die Wahlen 2024
- DDoS-Attacken: Check Point warnt vor neue Wellen
- Finanzkriminalität: BioCatch publiziert ersten Bericht über digitalen Betrug mittels KI
- Zscaler-Report 2024: 60 Prozent Anstieg bei KI-gesteuerten Phishing-Angriffen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren