Zurück zum hauptmenü

Zustellbarkeit

Was ist Quishing? QR-Code-Phishing-Angriffe erkennen und vermeiden

Die neueste Bedrohung für die Cybersicherheit von E-Mail-Empfängern besteht in der kreativen Verwendung von bösartigen QR-Codes. Erfahren Sie, wie Sie Ihr Unternehmen und Ihre Abonnenten vor QR-Code-Phishing-Angriffen schützen können.

cw_27_What_is_quishing

QR-Codes (Quick Response Codes) sind zu einem allgegenwärtigen Bestandteil unseres digitalen Lebens geworden und bieten eine schnelle und bequeme Möglichkeit, auf Informationen zuzugreifen.

Es funktioniert folgendermaßen: Sie halten Ihr Handy einfach über die zweidimensionalen Barcodes, klicken auf den generierten Link und schon landen Sie auf der verbundenen Webseite.

Diese Technologie hat sich jedoch zu einer neuen Waffe im Arsenal der Cyberkriminellen entwickelt. Quishing, QR-Code-Phishing, wird verstärkt eingesetzt, und es ist wichtig, diese wachsende Bedrohung zu verstehen, wenn Sie sich und Ihre Abonnenten schützen wollen.

Was ist Phishing?

Falls Sie den Begriff noch nicht kennen:Phishing ist eine Art von Social-Engineering-Cyberkriminalität, bei der Hacker versuchen, Sie dazu zu bringen, vertrauliche Daten online preiszugeben.

Sie geben sich als jemand aus, den Sie kennen oder dem Sie vertrauen, z. B. eine Bank oder ein anerkanntes Unternehmen, und wenden sich per E-Mail (E-Mail-Spoofing) oder per Textnachricht/SMS (Smishing) an Sie. Diese Nachrichten versuchen oft, Ihnen Angst zu machen, Sie unter Druck zu setzen oder Sie mit Versprechungen von Geld oder Preisen zu begeistern.

Wenn Sie auf den Link klicken oder den Anhang der Nachricht öffnen, gelangen Sie wahrscheinlich auf eine gefälschte Website oder laden versehentlich Malware herunter. Das Ziel? Ihre Passwörter, Kreditkartennummern oder andere wichtige Informationen zu stehlen.

Schützen Sie Ihre Bankdaten, sowie personenbezogene Daten (geben Sie bspw. Weder Ihre E-Mail-Adresse noch Ihre Telefonnummer über eBay heraus) und schauen Sie auf die URL, bevor Sie sich einloggen.

Gefälschte PayPal-Login-Seite

Kreative Betrugsversuche: Ein Beispiel für einen E-Mail-Spoofing-Angriff, bei dem Cyberkriminelle ahnungslose Empfänger auf diese Phishing-Website geschickt haben, die die echte Anmeldeseite von PayPal imitiert. Die URL sieht allerdings ein wenig "gefälscht" aus, oder?

Cyber-Security wird ein großes Thema bleiben und Quishing ist nur eine Betrugsmasche von vielen: Auf der Seite der Verbraucherzentrale finden Sie (deutsche) aktuelle Phishing-Versuche. Es lohnt sich auch die eigenen Eltern oder andere Familienmitglieder einmal über diese Gefahr zu informieren – der Film Thelma könnte ein einfacher Weg sein mit Humor an das Thema heranzutreten. Wir haben zudem einen ausführlichen Artikel über Phishing mit Beispielen.

Was ist Quishing?

Quishing ist eine weitere Art von Phishing-Angriff mit einer ausgefallenen neuen Variante. Anstatt auf einen Link in einer E-Mail zu klicken, werden Sie dazu verleitet, QR-Codes zu scannen. Wenn Sie diesen Code scannen, gelangen Sie auf eine gefälschte Website, die Ihre persönlichen Kontaktinformationen stehlen soll.

Da QR-Codes bisher relativ harmlos waren (sie werden zum Öffnen der Speisekarte in der Kneipe verwendet, nicht wahr?), sind viele Menschen anfällig für Quishing-Angriffe geworden.

Wenn Sie also das nächste Mal einen QR-Code in einer E-Mail sehen, überlegen Sie zweimal, bevor Sie ihn mit Ihrem Handy scannen. Schauen Sie genau hin, ob diese Nachricht wirklich von vertrauenswürdigen Quellen kommt.

Wie funktioniert das Quishing?

Das Ziel ist es sensible Daten durch solche QR-Phishing-Attacken zu bekommen. Hier ein kurzer Überblick darüber, wie Cyberkriminelle Cyberangriffe mit QR-Codes einrichten:

  1. Erstellung eines bösartigen QR-Codes: Der Angreifer erstellt einen QR-Code, der, wenn er gescannt wird, in der Regel zu einer bösartigen Website führt, die dazu dient, Zugangsdaten zu stehlen, Malware herunterzuladen oder persönliche Daten zu sammeln.

  2. Verteilung des QR-Codes: Der QR-Code wird dann auf verschiedenen Wegen verteilt, z. B. per E-Mail, SMS, über soziale Medien, Plakate oder Flugblätter.

  3. Verlockung der Opfer: Der Angreifer lockt dann ein ahnungsloses Opfer an, welches den QR-Code mit Versprechungen von Rabatten, einem Gewinnspiel, kostenlosen Artikeln, dringenden Benachrichtigungen oder Verifizierungsanfragen scannt.

  4. Beginn des Angriffs: Sobald der QR-Code gescannt wird, wird das Opfer auf eine Phishing-Website geleitet, die legitim aussehen kann und sensible Informationen wie Anmeldedaten, Kreditkartennummern oder persönliche Identifikationsdaten abfragt. Alternativ kann der QR-Code auch den Download von Schadsoftware darauf das Gerät des Opfers auslösen.

  5. Datendiebstahl oder Gerätekompromittierung: Wenn das Opfer seine Daten auf der Phishing-Website eingibt, sammelt der Angreifer diese Daten und kann sie für Identitätsdiebstahl, Finanzbetrug oder weitere Angriffe nutzen. Wenn Malware heruntergeladen wird, erhält der Angreifer Zugriff auf das Gerät des Opfers, was zu Datenverletzungen oder weiteren Angriffen führen kann.

  6. Verwendung: Die gestohlenen Informationen werden dann für verschiedene böswillige Zwecke verwendet, z. B. für nicht autorisierte Transaktionen, Identitätsdiebstahl oder den Verkauf im Dark Web.

Bei dieser Gelegenheit möchten wir darauf hinweisen, dass Sie auch im Alltag nicht jeden QR-Code, dem Sie begegnen nutzen sollten. Es gibt beispielsweise Menschen, die einen gefälschten QR-Code ausdrucken und diesen auf eine bestehende Werbung (oder ein Restaurant-QR-Menü) kleben oder das Original austauschen. Bislang sind solche und ähnliche Maschen noch relativ vereinzelt, könnten aber in Zukunft mehr werden.

Wie man QR-Code-Phishing verhindert

Die gute Nachricht ist, dass es Möglichkeiten gibt, diese neuen, fortschrittlichen Phishing-Angriffe zu bekämpfen und hoffentlich den Ruf unseres armen alten QR-Codes wiederherzustellen. Die naheliegendste ist natürlich, QR-Codes, die Sie per E-Mail erhalten, nicht zu scannen (insbesondere von Quellen, die Sie nicht kennen). Hand aufs Herz: Wann haben Sie das letzte Mal einen seriösen QR-Code per E-Mail erhalten?

Außerdem müssen Sie Ihre Daten (und den Ruf Ihres Unternehmens) schützen. Im Folgenden finden Sie einige bewährte Verfahren, die Sie befolgen sollten:

E-Mail-Authentifizierung

Der beste Weg, Ihre Marke vor Quishing-Angriffen zu schützen, ist die Implementierung von E-Mail-Authentifizierungsprotokollen. Diese Protokolle arbeiten zusammen, um die Authentizität von E-Mail-Absendern zu überprüfen und sicherzustellen, dass die Nachrichten von legitimen Quellen stammen. Dadurch wird verhindert, dass Cyberkriminelle die E-Mail-Adresse Ihres Unternehmens fälschen, um bösartige Inhalte wie Phishing-Links oder QR-Codes, die zu betrügerischen Websites führen, zu verbreiten.

Die drei wichtigsten E-Mail-Authentifizierungsprotokolle sind:

  • SPF (Sender Policy Framework)

  • DKIM (DomainKeys Identified Mail)

  • DMARC (Domain-based Message Authentication, Reporting, and Conformance)

Wenn Sie erfahren möchten, wie Sie die empfohlenen E-Mail-Authentifizierungsprotokolle implementieren, um Ihre Marke vor Phishing-Angriffen zu schützen, lesen Sie unseren detaillierten Leitfaden zur Authentifizierung von Domains mit SPF und DKIM.

2FA (Zwei-Faktoren-Authentifizierung)

2FA ist eine weitere robuste Sicherheitsmaßnahme, die den Schutz Ihrer Marke vor QR-Code-Phishing-Angriffen erheblich verbessert. Im Wesentlichen funktioniert sie, indem sie eine zusätzliche Verifizierungsebene über ein einfaches Passwort hinaus verlangt (Zwei-Faktor), wodurch es für Bedrohungsakteure exponentiell schwieriger wird, unbefugten Zugang zu sensiblen Informationen zu erhalten.

Selbst wenn es einem Cyberkriminellen gelingt, das Passwort eines Kollegen in Erfahrung zu bringen, kann er ohne Multi-Faktor-Authentifizierung (in der Regel ein Code, der an ein vertrauenswürdiges Gerät gesendet wird) nicht auf dieses Konto zugreifen. Dadurch werden unberechtigte Anmeldungen wirksam verhindert und Ihre Kundendaten geschützt.

Quishing-Schulung zur Sensibilisierung

Es gibt einige verräterische Anzeichen dafür, dass eine E-Mail nicht legitim ist, auf die Sie Ihr Team hinweisen können. Sind Sie und Ihre Mitarbeiter nicht informiert, ist dies ein Sicherheitsproblem. Wenn Sie zum Beispiel einen verdächtigen Link untersuchen, der von einem QR-Code generiert wurde, sollten Sie immer die URL überprüfen.

Enthält sie einen Rechtschreibfehler? Gibt es grammatikalische Fehler oder seltsame Abstände? Sieht sie wie eine legitime URL eines bekannten Unternehmens aus?

Auch wenn die E-Mail Sie zum sofortigen Handeln auffordert oder mit Spam-Wörtern übersät ist, könnte dies ein Zeichen für einen böswilligen Versuch sein, Daten zu stehlen. Auch hier sollten Sie Ihr Team schulen, wachsam zu sein, bevor Sie mit verdächtigen E-Mails interagieren.

QR-Codes werden von Spamfiltern nicht erkannt, da sie grafische Symbole sind, die ihren Inhalt verschleiern. Spamfilter analysieren hauptsächlich Text und URLs in E-Mails, können aber den Inhalt von QR-Codes nicht direkt lesen oder interpretieren.

Antiviren-Software installieren

Wie der Name schon sagt, können Antivirenprogramme bösartige Links, Anhänge und Downloads erkennen und blockieren, die häufig zur Verbreitung von Phishing-Betrügereien verwendet werden. Für den unglücklichen Fall, dass ein Kollege Opfer eines Angriffs wird, fungieren Antivirenprogramme also als zweite Verteidigungslinie und verhindern den unbefugten Zugriff auf sensible Informationen.

Außerdem hilft Antivirensoftware dabei, die Verbreitung von Malware oder Ransomware einzudämmen, wenn das Gerät eines Teammitglieds nach einem Quishing-Angriff infiziert wird. Auch hierdurch wird das Risiko von Datenschutzverletzungen minimiert.

Lesen Sie, wie unser Schwesterunternehmen Sinch Mailgun im letzten Sommereinen groß angelegten Phishing-Angriff auf seine Mitarbeiter verhindern konnte. Es gibt viele Erkenntnisse, die Sie möglicherweise nutzen können, um die Daten Ihres Unternehmens besser zu schützen.

QR-Code-Phishing-Angriffe

Wir versuchen uns immer zu sagen: "Das wird mir nicht passieren"... Wir wollen Ihren Optimismus nicht schmälern, aber es ist besser, auf das Beste zu hoffen und für das Schlimmste zu planen. Fragen Sie einfach das chinesische Finanzministerium...

Im November 2022 wurde die chinesische Regierung Opfer eines groß angelegten E-Mail-Spoofing-Angriffs. Angreifer, die sich als Regierung ausgaben, verschickten eine Massen-E-Mail mit einem Microsoft Word-Dokument als Anhang:

Ein Beispiel für einen E-Mail-Spoofing-Angriff auf das chinesische Finanzministerium

Der Text lautet auf Englisch: "Bitte klicken Sie auf den Anhang, um die Mitteilung des Finanzministeriums über die Beantragung von Lohnkostenzuschüssen für das vierte Quartal 2022 einzusehen!"

In dem Dokument wird behauptet, die Empfänger hätten Anspruch auf einen staatlichen Zuschuss. Die Angreifer schlagen vor, dass die Leute schnell handeln müssen, um weiterhin Anspruch auf das Geld zu haben, und zitieren verschiedene Institutionen und Sicherheitszahlen, um den Betrug weiter zu legitimieren.

Beachten Sie, dass die E-Mail alle Merkmale einer klassischen Phishing-E-Mail aufweist: Dringlichkeit, finanzielle Belohnung und Autorität.

Um das Geld zu erhalten, werden die Empfänger aufgefordert, das Word-Dokument zu öffnen und einen eingebetteten QR-Code zu scannen:

Beispiel für einen QR-Code-Phishing-Angriff auf das chinesische Finanzministerium

Beachten Sie, wie sehr der QR-Code dem offiziellen Emblem der Volksrepublik China ähnelt, um den Betrug zu legitimieren

Der QR-Code leitet die Opfer auf eine Website weiter, auf der die Behauptungen aus dem Word-Dokument bestätigt werden. Nach Anklicken eines CTA können die Opfer ihren Antrag auf Finanzhilfe stellen. Um das Geld zu erhalten, müssen Sie natürlich Ihre Kontodaten eingeben. So werden die Nutzerdaten über den betrügerischen QR-Code eingesammelt:

Ein Beispiel für den Versuch von Hackern, Finanzdaten von Opfern zu stehlen

Indem sie die Benutzer dazu bringen, auf ein mobiles Gerät umzusteigen, umgehen die Angreifer potenziell viele der Sicherheitsmaßnahmen, die auf einem herkömmlichen, vom Unternehmen bereitgestellten Laptop eingestellt sind.

Die Angreifer haben nun alle Informationen, die sie benötigen, um im Namen des Opfers betrügerische Transaktionen durchzuführen.

Erhöhen Sie Ihre E-Mail-Sicherheit mit Sinch Mailjet

Bei Sinch ist die E-Mail-Authentifizierung das Herzstück unseres Produktangebots für alle unsere E-Mail-Lösungen. Wir sind ständig bestrebt, den Absendern die Tools und Ratschläge an die Hand zu geben, die sie benötigen, um das Vertrauen ihrer Zielgruppe zu gewinnen, den Ruf ihrer Marke zu schützen und die Sicherheit ihrer E-Mails zu erhöhen.

Schützen Sie sich vor Phishing-Angriffen

Verringern Sie Ihr Risiko und erhöhen Sie die Sicherheit, indem Sie Ihre Absenderdomain authentifizieren. Wenden Sie sich an unser Support-Team, um Unterstützung bei der Einrichtung von SPF, DKIM und DMARC zu erhalten.

Beliebte Beiträge

Hermes dancing on a laptop next to a mug

Deliverability

17 min

How to avoid email spam filters

Mehr lesen

Hermes and Hera in front of the mailboxes

Deliverability

7 min

Noreply email address: Best practices for your email strategy

Mehr lesen

God watching woman with computer wires

Email best practices

6 min

What is an SMTP relay and why do we use it?

Mehr lesen

Der Aufbau von Beziehungen war noch nie so einfach. Starten Sie jetzt mit Mailjet durch.Starten Sie Ihr Abenteuer
CTA icon