Was ist Quishing oder QR-Code-Phishing?

Angenommen, Sie erhalten eine unaufgeforderte E-Mail oder Instant Message, die Sie über Zahlungen auf Ihrem Konto informiert, und Sie sind gerade dabei, einen angehängten QR-Code zu scannen. Wenn es sich um einen bösartigen QR-Code handelt, könnte diese Aktion in Sekundenbruchteilen Ihr Bankkonto, Ihre Passwörter und Ihre persönlichen Daten offenlegen.  

Quishing ist ein schnell wachsender Cyberangriff, der versucht, vertrauliche Informationen von Benutzern mithilfe gefälschter QR-Codes zu stehlen. Dieser strategische Angriff zielt hauptsächlich auf Unternehmensleiter und Führungskräfte ab. Laut ein Bericht von Abnormal Security Corp. aus dem Jahr 2024.Führungskräfte der obersten Führungsebene sind 42-mal häufiger Opfer von QR-Phishing-Angriffen als durchschnittliche Mitarbeiter. Business Email Compromise (BEC), eine beliebte Methode für Cyberangriffe mit gefälschten E-Mails, hat zwischen 108 und 2022 um satte 2023 % zugenommen.

Mit der wachsende Nutzung von QR-Codes im Alltag, Quishing wird immer häufiger. Daher muss jeder QR-Code-Benutzer die mit QR-Codes verbundenen böswilligen Aktivitäten oder Praktiken kennen und vorbeugende Maßnahmen gegen QR-Code-Phishing ergreifen. 

Bedeutung von Quishing oder QR-Code-Phishing

„Quishing“ oder QR-Code-Phishing ist ein gut geplanter Versuch, QR-Code-Benutzer dazu zu verleiten, bösartige Links und Websites zu besuchen. Beim Scannen und Anklicken eines bösartigen QR-Codes werden Benutzer auf eine Phishing-Site weitergeleitet, auf der ihre vertraulichen Informationen preisgegeben werden.

Beim Quishing werden herkömmliche Sicherheitssysteme wie E-Mail-Sicherheitsgateways häufig umgangen, da die Systeme an eine E-Mail angehängte QR-Codes als harmlose Bilder betrachten. Infolgedessen werden viele QR-Code-Benutzer Opfer von E-Mail-Phishing. 

Wie funktioniert Quishing?

Quishing funktioniert, wenn Benutzer absichtlich oder unabsichtlich auf einen betrügerischen Link klicken, der beim Scannen eines bösartigen QR-Codes angezeigt wird. Phishing-Angriffe zielen hauptsächlich darauf ab, persönliche und finanzielle Informationen zu stehlen, wie etwa Debit- oder Kreditkartendaten, Anmeldeinformationen oder persönliche Identifikationsinformationen.

Betrüger nutzen vertrauliche Informationen von Benutzern für Finanzbetrug, Identitätsdiebstahl, unbefugten Kontozugriff oder Ransomware. Sie verwenden häufig bösartige QR-Codes in gedruckten Flyern und Postern, E-Mails und auf Social-Media-Plattformen. 

Beim Scannen des QR-Codes werden Benutzer auf eine gefälschte Website oder einen gefälschten Link weitergeleitet. Opfer werden häufig aufgefordert, vertrauliche Informationen wie Benutzernamen, E-Mail-Adressen, Geburtsdatum, Bankdaten und Passwörter für die Kontoanmeldung einzugeben.

Wichtige QR-Phishing-Statistiken, die Sie beachten sollten

• Der rasanter Anstieg der Nutzung von Smartphones zum Scannen von QR-Codes ist ein entscheidender Grund für die steigende Zahl der Quishing-Angriffe. Statista sagte Fast 89 Millionen Amerikaner haben mit ihrem Smartphone einen QR-Code gescannt im Jahr 2022. Im Jahr 100 könnte die Zahl 2025 Millionen Nutzer erreichen.  
• In China sind es bereits 10 Milliarden Mobilgeräte wurden für QR-Code-Zahlungen verwendet . 
• Einem Bericht zufolge ist die Gesamtzahl der Die Zahl der Smartphone-Nutzer weltweit wird im Jahr 4.88 2024 Milliarden überschreiten, was 60.42 % der Weltbevölkerung entspricht.

Auch QR-Code-Phishing hat deutlich zugenommen. Sehen wir uns einige Daten an:

• Laut einem Bericht von Check Point Software Technologies: QR-Code-Phishing-UPI-Betrug in Indien hat sich von 15,000 Fällen im Jahr 2022 auf über 30,000 Fälle im Jahr 2023 mehr als verdoppelt. 
• Täglich werden über 3 Milliarden Phishing-E-Mails versendet, was dazu führt, dass QR-Code-Benutzer eher auf Quishing hereinfallen.
• Gmail blockiert täglich über 100 Millionen Phishing-Versuche. 
• Wie Pymnts erklärte, machten QR-Codes mehr als 20 % aller Online-Betrügereien.
• Laut IBMLaut der Studie würden sich die weltweiten durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2024 auf 4.88 Millionen US-Dollar belaufen. Das wäre eine Steigerung von 10 % gegenüber dem Vorjahr und der höchste Gesamtwert aller Zeiten.
• Gemäß der Umfrage zu Cybersicherheitsverstößen 2024 Laut GOV.UK ist Phishing nach wie vor die häufigste Art von Verstößen und Angriffen auf die Cybersicherheit und zielt auf 84 % der Unternehmen und 83 % der Wohltätigkeitsorganisationen in Großbritannien ab.

Wie schützen wir uns vor QR-Phishing-Angriffen?

Hier finden Sie die wichtigsten Erkenntnisse zum Schutz Ihrer persönlichen Daten und zur Vermeidung von QR-Code-Phishing. 

✅ Geben Sie niemals unaufgefordert QR-Codes ab: Vermeiden Sie das Scannen von QR-Codes in E-Mails oder Social-Media-Posts, wenn Sie den Absender nicht kennen. Scannen Sie QR-Codes nicht wahllos an öffentlichen Orten. Seien Sie vorsichtig mit QR-Codes, die per E-Mail oder über Social Media geteilt werden, insbesondere wenn Sie sie nicht angefordert haben.

✅ Überprüfen Sie die Quelle vor dem Scannen: Bestätigen Sie die Echtheit des QR-Codes vor dem Scannen, auch wenn Sie glauben, die Quelle zu kennen. Sie können den Namen des Absenders überprüfen, indem Sie online suchen oder das Unternehmen vor dem Scannen direkt kontaktieren.

✅ Überprüfen Sie die URL des QR-Codes noch einmal: Warten Sie eine Weile, bevor Sie auf die URL klicken, die nach dem Scannen des QR-Codes angezeigt wird. Überprüfen Sie die URL des QR-Codes noch einmal, um zu sehen, ob sie mit dem Ihnen bekannten Unternehmen oder der Website übereinstimmt, die Sie besuchen möchten. Klicken Sie nicht auf verdächtige URLs.  

✅ Phishing-Signale erkennen: Vergleichen Sie den QR-Code, den Sie in E-Mails erhalten, mit dem in Ihrem Google Wallet- oder UPI-Konto gespeicherten Code. Sie können die Unterschiede sehen, z. B. Grafikfehler und Abweichungen bei den E-Mail-Adressen. Vermeiden Sie das Scannen des QR-Codes, der ein Gefühl der Dringlichkeit zum Handeln vermittelt oder eine Nachricht mit schlechter Grammatik enthält.  

✅ Beachten Sie die im Internet bereitgestellten Informationen: Akzeptieren Sie keine E-Mails oder Textnachrichten von unbekannten Absendern, die nach Ihren persönlichen und finanziellen Daten fragen. Sie müssen 100 % sicher sein, dass das Scannen des QR-Codes sicher ist, bevor Sie vertrauliche Informationen wie Kontaktnummer, Geburtsdatum, Anmeldeinformationen, Kreditkartendaten usw. angeben. 

Unternehmen können einige zusätzliche Schritte unternehmen, um sich vor einem Quishing zu schützen:

☑️ Implementierung der Zwei-Faktor-Authentifizierung: E-Mail-Phishing ist die häufigste Bedrohung für Unternehmen. Die Verwendung von Zwei-Faktor-Authentifizierung oder Multi-Faktor-Authentifizierung verhindert, dass Angreifer durch Business Email Compromise (BEC) geschäftliche E-Mails hacken. 

☑️ Software- und Sicherheitsfunktionen aktualisieren: Aktualisieren Sie Ihre Software auf die neueste Version und nutzen Sie erweiterte Sicherheitsfunktionen, um Phishing-Angriffe zu verhindern.

☑️ Schulung des Sicherheitsbewusstseins für Mitarbeiter: Unternehmen können Gefahren durch Quishing vermeiden, indem sie ihren Mitarbeitern ein Bewusstsein für Cybersicherheit vermitteln und sie in Sachen QR-Code-Sicherheit schulen. Durch Schulungen können Mitarbeiter lernen, BEC-Versuche zu erkennen und Vorgehensweisen wie die Bestätigung der Quelle der QR-Codes oder Zahlungsaufforderungen umzusetzen. 

Was passiert, wenn eine Organisation bereits Opfer von Quishing ist?

Nehmen wir an, dass Ihre Organisation bereits Opfer von QR-Code-Phishing ist. Sie müssen die folgenden Schritte unternehmen, um die weitere Verbreitung des Betrugs zu stoppen oder zumindest den Schaden zu verringern. So sollten Sie vorgehen. 

➡️ Den QR-Code umgehend entfernen: Entfernen oder ersetzen Sie den bösartigen QR-Code umgehend von Ihren vorhandenen physischen und digitalen Bereichen, einschließlich gedruckter Poster, Speisekarten, sozialen Medien und Websites. Dies trägt dazu bei, eine weitere Eskalation des Phishing-Angriffs zu verhindern.

➡️ Benachrichtigen Sie Kunden und Mitarbeiter dringend: Informieren Sie Kunden, Geschäftspartner und Mitarbeiter über den Phishing-Angriff und erklären Sie die Situation deutlich. Sorgen Sie für eine angemessene Kommunikation, indem Sie klare Anweisungen zum Umgang mit der Situation geben. Eine rechtzeitige Kommunikation kann Kunden vor finanziellen Verlusten und dem Diebstahl persönlicher Daten bewahren und Unternehmen vor einem schlechten Markenimage oder Ruf bewahren.  

➡️ Identifizieren Sie die Quelle der betrügerischen QR-Codes: Führen Sie eine gründliche Bewertung der Quelle des QR-Codes und seines Ziels durch. Untersuchen Sie das Quishing-Motiv, indem Sie feststellen, ob Benutzer auf eine Phishing-Site weitergeleitet werden oder schädliche Inhalte herunterladen. Durch rechtzeitiges Eingreifen und Untersuchen können Kunden und Organisationen vor weiteren Schäden bewahrt werden. 

➡️ Melden Sie den Vorfall dem Sicherheitsteam: Melden Sie den Phishing-Angriff sofort den zuständigen Behörden. Wenn Ihre Organisation beispielsweise über ein separates Sicherheitsteam verfügt, melden Sie den Vorfall dem Team, sobald Sie Quishing feststellen oder realisieren. Organisationen können eine Beschwerde bei einer lokalen Cybercrime-Zelle einreichen. Die Behörden können geeignete Gegenmaßnahmen ergreifen, um zu verhindern, dass andere Organisationen mit demselben Vorfall konfrontiert werden. 

➡️ Kommunizieren Sie die Problemlösung: Informieren Sie Ihre Kunden, Mitarbeiter und andere Geschäftspartner, sobald Ihr Unternehmen die Probleme gelöst hat. Sie können sie über Ihre Maßnahmen zur Bewältigung der Situation auf dem Laufenden halten. Es ist wichtig, das Vertrauen wiederherzustellen und den Kunden zu versichern, dass Ihr Unternehmen hinter ihnen steht.

Fazit

Heutzutage sind QR-Codes allgegenwärtig und damit auch die Gefahr des Quishings. QR-Benutzer müssen bei der Verwendung von QR-Codes vorsichtig sein, insbesondere beim Scannen eines QR-Codes, der an eine E-Mail, einen Text oder einen Social-Media-Beitrag aus unbekannten Quellen angehängt ist. 

Unternehmen müssen sich der potenziellen Bedrohung durch QR-Codes bewusst sein, wenn diese für Phishing-Angriffe verwendet werden. Durch entsprechende Gegenmaßnahmen können sich Unternehmen vor QR-Code-Phishing schützen.

Häufig gestellte Fragen