Quishing - Phishing mit Hilfe von QR-Codes

Quishing ist einer Weiterentwicklung der Phishing-Methode. Der Begriff Quishing setzt sich dabei aus den Begriffen QR-Code und Phishing zusammen.

Online-Betrüger bzw. Cyberkriminelle versuchen ständig ihre Methoden und Vorgehensweisen zu verbessern und zu erweitern um Nutzerdaten abzufangen, bevorzugt Zugangsdaten für Online-Konten oder persönliche Daten für sogenannte Identitätsdiebstähle.

Quishing-Mails enthalten dabei keine verdächtigen Links oder Schadprogramme in den Anhängen, sondern als unverdächtig wirkende eingebundene QR-Codes. Ahnungslose Nutzer werden dazu aufgefordert, z. B. einbebundene QR-Codes mit Smartphones zu scannen um drängende Sicherheitsprobleme zu lösen oder Kennwörter aufgrund von Cyberangriffen zu ändern.

Cyberkriminelle versuchen dabei z. B. mit Hilfe einer Quishing-Kampagne konkret Nutzer über QR-Codes auf gefälschte Microsoft 365-Seiten zu locken, um dort Nutzerdaten für den Cloud-Service Microsoft 365 zu stehlen. Scannt ein Nutzer den QR-Code, der in der Quishing-Mails enthalten ist, wird dieser auf eine täuschend echt aussehende Fälschung der Login-Seite von Microsoft 365 geleitet.

Die Verwendung von QR-Codes ist für Cyberkriminelle vielversprechend, weil QR-Codes von vielen Antiviren-Programmen nicht bzw. wesentlich seltener als gefährlich erkannt werden.

QR-Codes werden lediglich als Bilddateien in den Quishing-Mails wahrgenommen, die nicht als bedrohlich gelten und dadurch nicht oder sehr selten von Antiviren-Programmen untersucht werden.

QR-Codes finden sich sehr häufig auf Flyern, Werbeplakaten, ärztlichen Attesten, Impfnachweisen, etc. Sicherheitsrelevante Aspekte für QR-Codes spielen keine oder nur eine untergeordnete Rolle und werden vernachlässigt. Deshalb gilt gerade bei solchen QR-Codes besonders auf die Sicherheit zu achten!

Richtiges Verhalten im Umgang mit Quishing-Mails entspricht richtigem Verhalten im Umgang mit Phishing-Mails.