Was ist Quishing?🔍
In der ständig wachsenden Welt der Cyberkriminalität sind Angreifer stets auf der Suche nach neuen Methoden, um unvorsichtige Nutzer zu täuschen. Eine dieser neuen Methoden ist "Quishing", eine raffinierte Variante des klassischen Phishings. In diesem Blogbeitrag erkläre ich, was Quishing ist, wie es sich von Phishing unterscheidet und gebe einige Beispiele, wie diese Angriffsmasche angewendet wird.
Was ist der Unterschied zwischen Phishing und Quishing?🎓
Phishing ist eine breit gefächerte und stark verbreitete Methode, bei der Angreifer gefälschte E-Mails oder Nachrichten senden, die legitim erscheinen sollen, um Benutzer zu täuschen und sie dazu zu bringen, persönliche Informationen wie Passwörter, Kreditkartendaten oder andere sensible Informationen preiszugeben. Phishing kann verschiedene Formen annehmen, einschließlich E-Mail-Phishing, Spear-Phishing (gezielte Angriffe auf bestimmte Personen) und Vishing (Voice-Phishing) oder Smishing (SMS-Phishing).
Quishing hingegen konzentriert sich dabei speziell auf die Nutzung von QR-Codes. Während beim traditionellen Phishing ein Benutzer auf einen bösartigen Link klickt, wird beim Quishing ein QR-Code gescannt, der dann den Benutzer auf eine betrügerische Website weiterleitet, eine schädliche Datei herunterlädt, oder eine Bezahlfunktion direkt ausführt.
Die Bedeutung von QR-Codes in der heutigen Zeit: Erleichterung im Arbeitsalltag
QR-Codes haben in den letzten Jahren ihren Weg in die verschiedensten Bereiche unseres Alltags gefunden. Wir scannen darüber die Speisekarte im Restaurant, bezahlen damit Produkte und Dienstleistungen, verwenden Sie an E-Ladestationen oder am Parkautomaten und nutzen sie zum einfacheren Zugriff auf Websites. Die Vorteile von QR-Codes sind sowohl aus Unternehmens- als auch aus Verbrauchersicht unumstritten. Dennoch sind sie auch mit Risiken verbunden und tauchen auch bei uns als gefälschte Variante verstärkt auf.
Sie sollen uns also den Alltag erleichtern, finden sich in E-Mails, sind abgedruckt auf Schreiben der Energieversorger, angebracht an Parkautomaten oder in Parkhäusern, werden auf Plakaten oder in Fernsehsendungen eingeblendet und ermöglichen durch einfaches Einscanneneinen direkten Zugriff auf die Webseite über ein Tablet oder Smartphone.
Beispiele für Quishing-Angriffe📋
- Gefälschte Parkautomaten: In einigen Städten wurden Berichte über gefälschte QR-Codes auf Parkautomaten bekannt. Diese Codes führten die Benutzer auf betrügerische Zahlungsseiten, wo sie ihre Kreditkartendaten eingeben sollten. Die Angreifer konnten so sensible Zahlungsinformationen abfangen.
- Gefälschte Strafzettel: Bereits im Jahr 2022 wurden in Atlanta gefälschte Parktickets an Fahrzeugen angebracht. Diese sind täuschend echt, enthalten sogar das mitgedruckte Kennzeichen. Allerdings haben die originalen Tickets der Behörden dort keinen QR-Code mit Bezahlfunktion!
In diesem Fall führte der QR-Code des gefälschten Strafzettels direkt zu einer Bezahlfunktion, mit der dann 20$ an die Kriminellen gezahlt würde. - Manipulierte Werbeplakate: Angreifer haben auch QR-Codes auf Werbeplakaten manipuliert. Diese Codes führten dann auf Phishing-Websites, die legitimen Unternehmensseiten ähnelten, und forderten die Benutzer auf, persönliche Daten einzugeben.
- E-Mail-Anhänge mit QR-Codes: Statt eines traditionellen Phishing-Links könnten Angreifer in E-Mails QR-Codes einbetten. Der Benutzer scannt den Code mit seinem Smartphone und wird auf eine Phishing-Website weitergeleitet, ohne die übliche Misstrauensbarriere eines verdächtigen Links zu überwinden.
Schutz vor Quishing👇
- Vorsicht beim Scannen von QR-Codes: Scannen Sie nur QR-Codes von vertrauenswürdigen Quellen. Seien Sie misstrauisch gegenüber QR-Codes in öffentlichen Bereichen und auf offener Straße, die leicht manipuliert werden können. Prüfen Sie den gescannten Code bzw. schauen Sie sich den Link der Webseite genauer an. Hier ist, wie bei Phishing-E-Mails auch, oft schon der gefälschte Link erkennbar. Achten Sie bei einer Bezahlfunktion im Parkhaus oder bei einem Parkautomaten darauf, dass es sich um einen auf dem Terminal gedruckten Code des Anbieters, und nicht um einen eventuell nachträglich angebrachten Aufkleber handelt. Werden Sie misstrauisch, wenn beim Öffnen der Seite viele Warnungen angezeigt werden.
- Verwendung von Sicherheits-Apps: Einige Sicherheits-Apps bieten Schutz vor Quishing, indem sie die gescannten QR-Codes überprüfen und vor potenziellen Bedrohungen warnen. Aber auch eine App bietet keinen 100%igen Schutz, wichtig und zwingend notwendig ist immer noch, sich selbst davon zu überzeugen was passiert und welche Seite aufgerufen wird.
- Manuelles Eingeben von URLs: Wenn Sie unsicher sind, geben Sie die URL manuell in Ihren Browser ein, anstatt den QR-Code zu scannen.
- Schulung und Bewusstsein: Sensibilisieren Sie sich und andere über die Risiken von Quishing und anderen Cyberbedrohungen. Wissen ist der beste Schutz vor diesen Angriffen. Eine Sensibilisierung in Unternehmen, aber auch bereits in Schulen und der eigenen Familie ist wichtig und sorgt für eine ausreichende Sicherheit in der digitalen Welt.
Fazit
Quishing ist eine wachsende Bedrohung in der Welt der Cyberkriminalität, die zeigt, wie erfinderisch und anpassungsfähig Angreifer sein können. Indem wir uns über diese neuen Methoden informieren und entsprechende Sicherheitsmaßnahmen ergreifen, können wir uns besser vor diesen heimtückischen Angriffen schützen. Bleiben Sie wachsam und scannen Sie QR-Codes nur aus vertrauenswürdigen Quellen, um sicher im digitalen Raum zu navigieren.