Während klassische Phishing-Angriffe mittlerweile gut bekannt sind, gibt es eine neue, raffinierte Bedrohung, die auf den ersten Blick harmlos erscheint: Quishing. Doch wie funktioniert Quishing genau, und wie können wir uns davor schützen?
Der Begriff „Quishing“ setzt sich aus „QR“ (Quick Response) und „Phishing“ zusammen.
Phishing bezeichnet einen Cyberangriff, bei dem Angreifer versuchen, sensible Informationen wie Passwörter oder Kreditkartendaten zu erlangen, indem sie sich als vertrauenswürdige Institution ausgeben.
Beim Quishing verwenden die Angreifer statt eines herkömmlichen Links einen QR-Code, der den Benutzer auf eine betrügerische Website oder zu einer schädlichen App führt.
QR-Codes sind quadratische Barcodes, die über das Smartphone gescannt werden und den Benutzer direkt zu einer bestimmten Webseite leiten.
Diese Technologie hat in den letzten Jahren durch die zunehmende Digitalisierung stark an Popularität gewonnen. QR-Codes finden sich heute auf Werbeplakaten, in Restaurants oder bei digitalen Zahlungen. Genau diese Popularität machen sich Cyberkriminelle zunutze.
Der typische Ablauf eines Quishing-Angriffs sieht wie folgt aus:
Üblicherweise werden gängige Funktionsweisen, die dem Endbenutzer Zeit ersparen als Einstiegspunkt genutzt. - Endbenutzer können dabei klassische Konsumenten, aber auch Mitarbeiter in IT-Abteilungen oder generell in Unternehmen sein.
Die schädliche Aktion wird, im Gegensatz zum Barcode, gegebenenfalls bereits durch den Scan ausgeführt. Der einfache 1D-Barcode enthält nur starre Werte Zahlen und Buchstaben, aber niemals eine URL oder Schadcode.
Quishing ist besonders gefährlich, weil es auf der wachsenden Nutzung von QR-Codes aufbaut.
Viele Menschen sind sich der potenziellen Gefahren beim Scannen von QR-Codes nicht bewusst und gehen davon aus, dass diese Technologie sicher ist.
Außerdem bietet das Scannen eines QR-Codes weniger Transparenz als das Klicken auf einen herkömmlichen Link: Während bei einem Link in einer E-Mail die URL oft sichtbar ist und auf verdächtige Zeichen überprüft werden kann, bleibt der Inhalt eines QR-Codes für den Benutzer zunächst unsichtbar.
Ein weiteres Problem ist, dass mobile Geräte im Zentrum solcher Angriffe stehen. Smartphones sind oft schlechter gegen Cyberangriffe geschützt als Computer, da viele Nutzer keine Antivirenprogramme oder Sicherheitsanwendungen auf ihren Handys installiert haben. Zudem sind mobile Betriebssysteme oft anfälliger für bestimmte Arten von Malware.
Durch die Bestätigung des Benutzers wird unbewusst das Sicherheitsbewusstsein gesenkt und der menschlicher Überraschungseffekt unterdrückt.
Quishing richtet sich sowohl an Privatpersonen als auch an Unternehmen.
Im Fokus stehen häufig Benutzer, die wenig technisches Verständnis haben und sich der Risiken von QR-Codes nicht bewusst sind. Unternehmen sind jedoch ebenfalls gefährdet, da Angreifer gezielt QR-Codes in geschäftlichen E-Mails platzieren oder auf Firmenveranstaltungen verteilen können.
Für Unternehmen ist es besonders gefährlich, da durch Quishing-Angriffe oft Zugangsdaten zu internen Netzwerken oder sensiblen Geschäftsdaten gestohlen werden können. Ein erfolgreicher Quishing-Angriff kann zu schwerwiegenden Datenlecks, finanziellen Verlusten und Reputationsschäden führen.
Trotz der potenziellen Bedrohung gibt es Maßnahmen, die sowohl Privatpersonen als auch Unternehmen ergreifen können, um sich vor Quishing-Angriffen zu schützen:
Die Vermeidung von QR-Codes bekommt hierbei eine besondere Bedeutung zu, denn Mitarbeiter können kaum oder nur unzureichend die Qualität und Gefährdungspotenziale erkennen. Andere Barcode-Typen, die keine Weiterleitung als Konzept beinhalten können dabei gefahrlos eingesetzt werden.
Quishing stellt eine ernstzunehmende Bedrohung in der digitalen Welt dar und baut auf die weitverbreitete Nutzung von QR-Codes auf.
Durch das Ausnutzen von Unachtsamkeit und fehlender Transparenz können Cyberkriminelle auf einfache Weise sensible Daten stehlen oder schädliche Software verbreiten.
Mittlerweile ist die Nutzung ein legitimer Standard geworden, wodurch die Hemmschwelle auf Nutzer-Seite deutlich gesunken ist. Hier fehlt aus der Gewohnheit heraus, mittlerweile die gesunde Vorsicht, vor dem Unbekannten dahinter.
Um sich vor Quishing zu schützen, ist es entscheidend, wachsam zu bleiben, Sicherheitsmaßnahmen zu ergreifen und QR-Codes nur von vertrauenswürdigen Quellen zu scannen. Ebenso sollte in sensiblen Bereichen, wie der IT auf die Nutzung von QR-Codes verzichtet werden, damit das Risiko rigoros gesenkt werden kann.
CTO
Herr van der Steeg ist bei der EntekSystems als Chief Technology Officer für alle Belange der Produktentwicklung und technischen Konzeption verantwortlich.
Kombiniert Hardware, Lizenzen, Verträge, Bestellungen und vieles mehr in einem System.
Weitere Artikel und Beiträge
Microsoft Entra ist die Schlüsselplattform von Microsoft für Sicherheit: Sie schützt digitale Identitäten und Zugriffe. Entdecken Sie, wie Entra den Zugang zu Daten und Anwendungen sicherer und nahtloser gestaltet – und was das für die Zukunft Ihrer IT bedeuten kann.
Im digitalen Zeitalter ist WMI ein unverzichtbares Werkzeug für die Verwaltung und Überwachung von Windows-Systemen. Doch WMI birgt auch potenzielle Sicherheitsrisiken, die IT-Administratoren kennen sollten.
NIS2-Richtlinie: Vollständiger Überblick, Unterschiede, Geltungsmöglichkeiten, Strafen und Bußgeldregelungen sowie praktische Umsetzung und Unterstützung durch Inventory360