
Quishing
Spätestens seit Corona sind QR-Codes ein fester Bestandteil unseres Alltags. Ein kurzer Scan und schon ist von Werbungen bis hin zum Log-in oder Calls nahezu möglich.
Doch gerade, weil sie mittlerweile einen derart festen Platz in unserem täglichen Leben einnehmen konnten, werden QR-Codes immer öfter Werkzeug betrügerischer Machenschaften.
Eine davon: Quishing.
Was steckt dahinter?
Hinter der Kombination aus “QR-Code” und “Phishing” verbirgt sich die Bezeichnung für Cyberangriffe, die zumeist darauf abzielen, persönliche Daten abzugreifen oder Malware auf den jeweils verwendeten Geräten zu platzieren. Das Fatale daran: Da vorm Scan nur schwer vorherbestimmt werden kann, welche Codes harmlosen und welche schädlichen Ursprunges sind, erkennen die Betroffen die Gefahr meist erst, wenn es bereits zu viel zu spät ist.
Zudem lassen sich die Codes leicht im öffentlichen Raum neben oder sogar über denen offizieller bzw. seriöser Quellen platzieren, was – insbesondere durch die oft überaus geringe Scheu vor negativen Konsequenzen – gerade bei neugierigen Smartphone- oder Tablet-Nutzern fatale Folgen haben kann. Vor allem aber beschränken sich die Täter für gewöhnlich nicht allein auf öffentlich zugängliche Platzierungen, sondern versenden ihre Codes beispielsweise in vielen Fällen auch per E-Mail.
So erhalten potenzielle Opfer beispielsweise oft Spam-Mails von ihrer Bank, in denen sie mittels QR-Code der Behebung vermeintlicher Probleme nachgehen sollen. Ebenso beliebt scheinen gefälschte “Firmennachrichten” bei denen die Täter unternehmensinterne Mitteilungen faken, um darin ihre schädlichen Codes zu platzieren.
Doch, egal wie der Quishing-Code letztlich zum Opfer gelangt, wird er erst einmal gescannt, führt er in den meisten Fällen zu gefälschte Website, die den Nutzer auffordern, sensible Daten wie persönliche Angaben, Passwörter oder die Kreditkarteninfo preiszugeben.
Doch auch versehentlich durch die QR-Codes heruntergeladene Malware kann dem Opfer ernsthaft schaden, bedeutet es doch, dass die Täter schlimmstenfalls vollen Zugriff auf das verwendete Gerät und alle sich auf auf ihm befindlichen bzw. seinem Zugriff offenen Daten haben.
Ist das erst einmal der Fall, sollte das Gerät zu Schadensbegrenzung umgehend von allen mit ihm verbundenen Konten gesperrt werden, ganz gleich, ob es sich dabei um die App fürs Online-Banking oder aber den Netflix-Account der Kinder handelt. Darüber hinaus empfiehlt es sich die Polizei, vor allem aber die eigene Hausbank zu kontaktieren, um verdächtige Bewegungen entweder umgehend stoppen oder aber ihnen möglicherweise sogar zuvor kommen zu können.
Was hilft wirklich?
Insgesamt zählt jedoch auch bei diesem Betrug Prävention als bester Schutz, da erst einmal verlorene Daten, Zugriffsrechte und Gelder nicht zwangsweise auch wiederhergestellt bzw. zurückgebracht werden können.
Daher sollten im Idealfall natürlich nur QR-Codes aus nachweislich vertrauenswürdigen Quellen gescannt werden. Da das wiederum allerdings leichter gesagt, als getan ist, reicht es oft bereits aus, den Code selbst auf mögliche Manipulationsspuren bzw. Schäden oder sonstige Auffälligkeiten zu überprüfen.
Darüber hinaus gibt es mittlerweile auch immer mehr Apps, die dem Nutzer die URL, auf die der QR-Code weiterleiten möchte, zuerst anzeigen. Auf diese Weise kann schnell und einfach eingesehen werden, wohin genau die Reise eigentlich gehen soll. Weist die angezeigte URL eine ungewöhnliche Länge, Bezeichnung oder beispielsweise auch Rechtschreibfehler auf, ist Vorsicht geboten.
Zudem schadet es oft nicht, die Website kurz zu googeln, um zu überprüfen, ob es sich hierbei wirklich um ein vertrauenswürdiges Original und nicht die düstere Kopie der eigentlich Seite handelt.
Kurz: Mit ein paar Tricks und der richtigen Scan-App lässt sich auch Quishing meist gut umgehen.