Woher stammt der Begriff?
Jeder kennt mittlerweile QR-Codes (QR steht für das englische Quick-Response, was soviel bedeutet wie „schnelle Antwort), die auf Plakaten, Visitenkarten, in E-Mails oder anderen Medien abgebildet sind. Ziel dieser QR-Codes ist es, über das Scannen der Codes einen bestimmten Link, der in dem Code eingebettet ist, schnell erreichbar zu machen. Ein Beispiel dazu finden Sie in diesem Beitrag -- natürlich ohne Schadcode. Der Begriff "Quishing" ist eine Kombination aus den Begriffen „QR-Code“ und "Phishing". Er weist darauf hin, dass es sich bei den Codes um betrügerische Links handelt, die darauf abzielen, Sie zu täuschen und Ihre Daten zu stehlen.
Was macht Quishing so gefährlich?
Beim herkömmlichen Phishing, erhalten Sie per E-Mails einen Link. Der Absender versucht Sie zu veranlassen, diesen Link anzuklicken. Dies geschieht dadurch, dass der Absender Ihnen vorspielt ein vertrauenswürdiger oder bekannter Absender zu sein. Oder er suggeriert Ihnen eine unmittelbare Gefahr, wenn Sie den Link nicht anklicken. Diese Variante ist nicht nur auf E-Mail beschränkt, sondern erreicht Sie auch per SMS oder Messenger. Beim Quishing ist der Ansatz genauso, nur dass Sie statt eines Links einen QR-Code erhalten, in dem der Link eingebettet ist.
Während viele E-Mail-Filter in der Zwischenzeit sehr gut darin sind, bösartige Links in Mails zu erkennen, gelingt dieses bei den versandten QR-Codes nicht so zuverlässig, da QR-Codes als Bilder versandt werden. Diese werden von den E-Mail-Filtern nicht als schädlich erkannt.
Zum Aufrufen des Links wird der QR-Code wird mit der Kamera des Smartphones anvisiert und die Kamera erkennt den QR-Code als solchen. In der Regel gibt es dann eine Schaltfläche zum Öffnen des Links. Hier liegt ein Angriffspunkt. Viele Smartphone-Modelle zeigen Ihnen nur an, dass der QR-Code erkannt worden ist, und fragen Sie, ob der Link geöffnet werden soll. Sie haben keine Möglichkeit den Link zu überprüfen. Wenn Ihre Kamera, oder die von Ihnen verwendete QR-Code-App, den Link ohne Nachfrage öffnet, sollten Sie eine andere App benutzen, die Ihnen die Prüfung des Links ermöglicht.
Wie sich Ihre aktuelle App verhält, können Sie gefahrlos mit dem QR-Code auf dieser Seite ausprobieren – er führt auf unsere Web-Seite.
Aber nicht nur das; mit einem QR-Code ist es auch möglich eine Anwendung herunterzuladen, und sich damit Schadcode direkt auf sein Smartphone oder Mobil-Device zu laden und seine persönliche Daten zu kompromittieren.
Leider sehen Sie dem QR-Code „von außen“ nicht an, was sich in seinem Inneren verbirgt, und zu welchen Aktionen er das Smartphone veranlasst.
Welche Folgen kann Quishing haben?
Die Folgen von Quishing sind identisch zu denen beim Pishing. Identitätsdiebstahl, Finanzieller Verlust, Datendiebstahl und Verbreitung von Schadsoftware – von all diesen Szenarien können Sie betroffen sein.
Was kann man tun, um das Risiko von QR-Code Angriffen zu mindern?
Der erste und wichtigste Schritt ist Aufmerksamkeit und ein gesundes Maß an Misstrauen. Prüfen Sie, wie beim Phishing auch, ob Ihnen der Absender der Mail bekannt ist. Seien Sie besonders vorsichtig, wenn Ihnen ein QR-Code per Mail zugesandt wird. Stellen Sie sich die Frage, warum Ihnen der Absender einen QR-Code und nicht einen „normalen“ Link sendet. Öffnen Sie einen Link nur, wenn Sie sicher sind, dass es sich um einen sicheren Link handelt.
Exkurs Linkprüfung: Verkürzte URL: Eine beliebte Methode um das wirkliche Ziel von bösartigen Links zu verbergen ist die Nutzung von legalen Diensten wie TinyURL oder bit.ly. Eigentlich sind diese Dienste dazu gedacht, lange und komplizierte URLs zu verkürzen. Prüfen Sie verkürzte URLs mit den entsprechenden Tools. Beispielsweise online auf https://urlex.org/, oder mit einem entsprechenden ADD-On für Ihren Browser. Domainprüfung: Falls der Link nicht auf diese Weise verschleiert ist, überprüfen Sie, ob Ihnen Domain plausibel erscheint. Fragen Sie sich, warum z.B. Amazon Ihnen einen Link zur Seite https://hacker-falle.ru schicken sollte. Prüfen der Schreibweise: Prüfen Sie, ob der Link korrekt ist, oder ob Sie durch bewusste Schreibfehler getäuscht werden sollen.
Technische Prüfungen: mit Link-Scannern, URL-Checkern und Antivirenprogrammen können Sie viele Prüfungen automatisch erledigen lassen. |
Weiterhin ist es notwendig, Mitarbeitende für dieses Thema zu sensibilisieren. Dies geht am besten über regelmäßige Schulungen, oder praktische Erfahrung.
Zusätzlich zu einem gesunden Misstrauen ist die regelmäßige Aktualisierung von Sicherheitssoftware und die Installation von Antivirenprogrammen von großer Bedeutung. Mit dem Bewusstsein für aktuelle Betrugsmaschen und Methoden des Quishing tragen Sie dazu bei, potenzielle Angriffe frühzeitig zu erkennen und gehen Ihnen somit aus dem Weg.
Machen Sie doch einmal den Test, und lassen sich gezielt eine Quishing -Mail senden.
Fazit:
In einer Welt, in der die Technologie unaufhörlich voranschreitet, ist die Notwendigkeit, sich gegen Bedrohungen wie Quishing zu schützen, von entscheidender Bedeutung. Die Gewährleistung Ihrer eigenen digitalen Sicherheit erfordert ständige Wachsamkeit und eine proaktive Herangehensweise, um diese hinterlistige Form des Betrugs zu bekämpfen und Ihre persönlichen Daten sowie Ihre Unternehmensdaten zu schützen.