Quishing: Wenn QR-Codes zur Cyberfalle werden

QR-Codes sind bequem: ein schneller Scan, und schon öffnet sich eine Website, ein Dokument oder ein Formular. Genau diese Bequemlichkeit machen sich Cyberkriminelle beim sogenannten Quishing zunutze – einer speziellen Form des Phishings über QR-Codes.

Beim Quishing platzieren Angreifer manipulierte oder gefälschte QR-Codes an Orten, an denen sie harmlos wirken – zum Beispiel auf Rechnungen, Werbeplakaten, Speisekarten oder Paketbenachrichtigungen. Besonders kritisch ist, dass auch seriöse Anbieter, wie Paketdienste, QR-Codes auf Benachrichtigungskarten verwenden. Kriminelle imitieren genau diese Optik, sodass Nutzer oft nicht erkennen können, ob ein QR-Code legitim ist oder auf eine gefälschte Website führt.

Nach dem Scan öffnet sich häufig eine gefälschte Login- oder Zahlungsseite, über die sensible Daten abgegriffen oder Malware installiert wird.

Typische Ziele von Quishing-Angriffen sind:

• Zugangsdaten zu Kunden- oder Benutzerkonten
• Zahlungsinformationen
• Installation von Schadsoftware auf mobilen Geräten

So erkennen Sie Quishing-Versuche:

• Absender oder Ziel des QR-Codes nicht eindeutig erkennbar
• Login- oder Zahlungsaufforderung nach dem Scan
• Druck oder Zeitknappheit wird erzeugt

So schützen Sie sich:

• QR-Codes nur scannen, wenn Quelle und Zweck eindeutig überprüfbar sind
• Keine sensiblen Daten über per QR-Code aufgerufene Seiten eingeben
• Geräte und Apps aktuell halten
• Mitarbeitende für QR-Code-Betrug sensibilisieren

Quishing zeigt, dass selbst scheinbar einfache Alltagstechnologien ein Sicherheitsrisiko darstellen können, wenn sie missbraucht werden.

Dieser Beitrag ist Teil 5 unserer Serie „Cyber-Gefahren einfach erklärt“. Im nächsten Teil widmen wir uns Spear Phishing – gezielten Angriffen mit personalisierten Inhalten.