Betrügerinnen und Betrüger sind stets auf der Suche nach neuen Tricks, um dich hereinzulegen. Die jüngste Masche in dieser endlosen Liste ist Quishing (ein neu geschaffener Begriff, der sich aus den Wörtern QR-Code und Phishing ableitet), eine raffinierte Abwandlung des altbekannten Phishings. Hierbei handelt es sich um einen ausgeklügelten Weg, um den Spamblockern unserer E-Mail-Provider zu entkommen. Phishing selbst zählt zu den häufigsten Formen von Cyberbetrug, bei dem das Hauptziel darin besteht, persönliche Informationen zu ergattern oder Schadsoftware wie Spyware oder Ransomware auf deine Geräte zu schleusen.
Durchschnittliche Lesezeit ca. 3–4 Minuten
In der Welt der Cybersicherheit spielen wir stets ein Katz-und-Maus-Spiel, wobei unsere Reaktionen oft erst nach der Entdeckung neuer Bedrohungen erfolgen. Bedrohungen durch Betrug entwickeln sich kontinuierlich weiter, und die Cyberkriminellen setzen ihre Suche nach neuen und innovativen Methoden, um ihre Opfer zu täuschen, fort.
Täuschung in neuer Form
Quishing, eine neue Form des Phishings, wurde gezielt entwickelt, um gängige Spamfilter zu umgehen. Statt konventionellen Textes im E-Mail-Body setzen Cyberkriminelle auf QR-Codes, um ihre Ziele zu erreichen. Quishing folgt dem Muster eines Standard-Phishing-Betrugs, bei dem Empfängerinnen und Empfänger dazu verleitet werden sollen, zu einer gefälschten Log-in-Seite zu gelangen, die vollständig von den Angreifern kontrolliert wird. Anstelle von herkömmlichen Links oder Anhängen fordert die Quishing-E-Mail dich jedoch dazu auf, einen QR-Code zu scannen, um beispielsweise ein benötigtes Dokument herunterladen zu können. Öffnest du eine solche E-Mail, siehst du einen legitim aussehenden QR-Code, möglicherweise begleitet von Anweisungen zum Scannen.
Da diese Betrugsform noch neu ist, gibt es bisher keine konkreten Daten darüber, wie viele Menschen bereits Opfer dieses E-Mail-Betrugs geworden sind. Es besteht jedoch die Möglichkeit, dass sich die Angriffe weiter häufen werden, da diese Form des Betrugs Erfolg verspricht, da wir uns noch nicht an diese neue Bedrohung angepasst haben.
Wie Quishing die Spamblocker umgeht: eine Analyse der Täuschungstaktiken
Spamfilter wurden ursprünglich entwickelt, um Texte zu lesen, doch diese neue Methode integriert Wörter raffiniert in ein Bild, das neben dem Text auch einen gefälschten QR-Code enthält. Und da QR-Codes lediglich Bilddateien sind, werden sie (noch) nicht von Spamblockern erkannt.
Spamfilter durchsuchen normalerweise Text, um festzustellen, ob eine Nachricht Spam ist oder nicht, indem sie nach häufig verwendeten, betrügerischen Schlüsselphrasen suchen. Genau hier liegt der Grund, warum diese innovative Form des E-Mail-Betrugs selbst die widerstandsfähigsten Spamfilter durchdringen kann.
Bedrohte Nutzergruppen: Wer gerät ins Visier?
Bislang richten sich Quishing-Betrügereien hauptsächlich gegen Unternehmen, indem sie Mitarbeitende dazu auffordern, auf den bereitgestellten Link zu klicken und ihre Informationen zu aktualisieren. Doch jeder und jede mit einer E-Mail-Adresse kann ins Visier geraten. Während Phishing-Angriffe auf Unternehmen in den Schlagzeilen stehen, sind auch viele Phishing-Systeme darauf ausgerichtet, normale Nutzende ins Visier zu nehmen – dazu gehört auch der Betrug mittels des manipulierten QR-Codes.
Aktuelle Vorfälle beziehen sich auf den Diebstahl von Microsoft-Zugangsdaten, bei dem eine angebliche Voicemail als Köder verwendet wurde, oder den Diebstahl von Zugangsdaten zu Bankkonten, dem die Kunden und Kundinnen der ING Bank zum Opfer fielen. In letztem Fall scannten die Opfer mit der App der Bank einen gefälschten QR-Code, der den Cyberkriminellen die Log-in-Daten der Bankkonten in die Hände spielte.
Quishing-Angriffe nutzen die wachsende Verbreitung von Sicherheitsabfragen auf digitalen Geräten aus, die oft miteinander verknüpft sind. Wir sind mittlerweile daran gewöhnt, verschiedene Plattformen oder Geräte zu kombinieren, z. B. Computer und Smartphone, um Aufgaben wie Banküberweisungen durchzuführen.
Gerade die Tatsache, dass QR-Codes nicht nur digital, sondern auch in der physischen Welt präsent sind, macht diese so gefährlich.
Konsequenzen eines Quishing-Angriffs
Welche Gefahren drohen, wenn du auf diesen Betrug hereinfallen solltest? Du könntest dazu verführt werden, Geld an die Betrüger zu überweisen, was zum Beispiel über einen QR-Code zu einer gefälschten Park-App bereits vorgefallen ist. Gleichzeitig besteht die Möglichkeit, dass schädliche Software auf dein Gerät geschleust wird. Zusätzlich besteht die Gefahr, Benutzernamen und Passwörter preiszugeben. Daher ist nicht nur die Verwendung robuster Passwörter entscheidend, sondern auch die Implementierung einer Zwei-Faktor-Authentifizierung, um online sicher zu bleiben.
Es kommt vor, dass betrügerische Akteure sich als Autoritätspersonen ausgeben, in dem Versuch, dich dazu zu bewegen, Geld für erfundene Rechnungen oder Gebühren zu überweisen. Ihr Ziel besteht darin, dich durch Ängste und Unsicherheiten zu Handlungen zu bewegen.
Wie du Quishing-Betrug erkennst und vermeidest: praktische Schritte und Vorsichtsmassnahmen
QR-Codes sehen offiziell aus. Daher ist es leicht anzunehmen, dass dieser schick aussehende Code von einer verlässlichen, offiziellen Quelle stammen muss.
Doch öffne niemals QR-Codes in unaufgeforderten E-Mails. Obwohl sie bequem zu verwenden sind, können QR-Codes allerlei bösartige Überraschungen enthalten, und das Risiko ist es nicht wert.
Wenn du Bedenken hast, dass die Absenderadresse legitim ist, und eine Rückverfolgung erforderlich ist, um mögliche Konsequenzen zu vermeiden, solltest du die E-Mail-Adresse des Absenders sorgfältig überprüfen. Achte darauf, dass keine zusätzlichen Punkte, Striche oder Unterstriche vorhanden sind, die auf ein Imitat-Konto hinweisen könnten. Bei Unsicherheiten ist es ratsam, die Echtheit der Nachricht durch eine neue E-Mail an die versendende Stelle direkt und nicht über die Antworten-Funktion zu überprüfen, bevor weitere Schritte unternommen werden.
Umgang mit Quishing-Betrug: Handlungsempfehlungen nach einem Vorfall
Solltest du unbeabsichtigt auf einen QR-Code-Betrug hereinfallen, ist es wichtig, die gleichen Schritte zu unternehmen wie bei jedem anderen Betrugsfall. Melde den Vorfall sofort den zuständigen Behörden und behalte dabei deine Bank- und Kreditkartenabrechnungen im Auge, um verdächtige Aktivitäten zu erkennen und zu melden.
Gleichzeitig könnte es sinnvoll sein, regelmässig einen Blick auf deine Kreditwürdigkeit zu werfen. Wenn Betrüger Zugang zu deinen persönlichen Informationen erlangen, könnten sie versuchen, in deinem Namen Kredite aufzunehmen oder andere finanzielle Transaktionen durchzuführen. Die Überwachung deiner Kreditwürdigkeit ermöglicht es dir, frühzeitig auf ungewöhnliche oder nicht autorisierte Aktivitäten aufmerksam zu werden und entsprechend zu reagieren, um potenzielle finanzielle Schäden einzuschränken. Es handelt sich dabei um eine präventive Massnahme, um sicherzustellen, dass betrügerische Handlungen keinen Einfluss auf dein finanzielles Wohlbefinden haben.
Solltest du dazu aufgefordert worden sein, persönliche Informationen preiszugeben, ändere umgehend die betroffenen Passwörter und stärke deine Sicherheitsmassnahmen, beispielsweise durch die Einrichtung einer Zwei-Faktor-Authentifizierung, um weitere Risiken zu minimieren.