QR-Codes als Phishingversuch

Gefährlicher Quishing Trend

Seit vielen Jahren wird mittels Phising-Mails versucht an personenbezogene Daten von Privatpersonen zu gelangen. Sei es durch Mails im eigenen Postfach oder aber durch Phishing-Mails in Unternehmen, um an deren Mitarbeiter- und Kundendaten zu gelangen.

Derzeit ist ein neuer, gefährlicher Trend im Einsatz, vor dem wir hiermit warnen möchten: Das Quishing.

Im folgenden Beitrag erklären wir Ihnen worum es sich dabei handelt und woran Sie Quishing-Versuche erkennen und was Sie tun können.

Das Wort Quishing ist eine Mischung aus dem Wort „QR“ und „Phishing“ und bedeutet, dass mittels QR-Codes Phishing betrieben wird. Das Tückische an dieser Methode ist, dass sie auf vielen unterschiedlichen Wegen erfolgen kann:

So gibt es täuschend echt aussehende Briefe von Banken, die per Post verschickt werden und in denen die Identität aufgrund einer EU-Richtlinie unkompliziert via QR-Code verifiziert werden soll. Der Betroffene wird auf eine gefälschte Bankseite geleitet und gibt dort den Angreifern seine Daten preis.

Auch im Bereich der E-Mobilität sind bereits Fälle von Quishing bekannt geworden. Dort wurden bestehende QR-Codes an E-Ladesäulen einfach durch die Quishing Codes ausgetauscht. Ebenso wurden schon an Parkautomaten solche Fake-Codes entdeckt. Eine Besonderheit hierbei ist, dass nach Eingabe der Daten auf der gefälschten Webseite dies als „Fehlversuch“ angezeigt wird und man im Anschluss an die echte Webseite weitergeleitet wird. Die Daten sind dann trotzdem schon abgeflossen.

Die klassische E-Mail kann ebenfalls vom Quishing betroffen sein, in dem in der Mail z.B. auf ein Sicherheitsproblem hingewiesen wird und der QR Code genutzt werden soll.

Ein weiteres Beispiel sind verteilte Strafzettel, die eine schnelle Bezahlung via QR-Code anbieten. Eine gängige Methode, um seinen Strafzettel zu bezahlen, bei dem man zunächst nicht von Quishing ausgeht.

Man merkt: Tendenziell sind bei dieser Methode den Möglichkeiten keine Grenzen gesetzt. Überall wo bereits QR-Codes eingesetzt oder eingesetzt werden könnten, besteht die Gefahr, dass es sich um Quishing handelt.

Unabhängig davon welche Methode genutzt wird, das Ziel ist immer Schaden anzurichten: Entweder indem direkt Information abgegriffen werden oder aber indem Maleware auf dem Smartphone installiert wird, um weitere Zugänge zu erhalten, z.B. zu Firmennetzwerken.

Was können Sie tun?

  • Lassen Sie sich von einer vermeintlichen Dringlichkeit niemals verleiten schnell und kopflos zu handeln. Atmen Sie zunächst durch und folgenden Sie den weiteren Schritten
  • Sofern sie mit einem QR-Code in Berührung kommen, seien Sie achtsam! Prüfen Sie, ob es sich dabei um eine Fälschung handeln könnte, und nehmen Sie eine Plausibilitätsprüfung vor. Beispiele: Ist ein bestehender QR Code überklebt?
  • In der Kamera wird bei den meisten Smartphones in der Kamera der Link angezeigt, zu dem der QR-Code führt. Prüfen Sie diesen und achten Sie auf die Satzzeichen. Die Adresse „datenschutzservice.nrw/schulungen“ führt tatsächlich auf eine Unterseite unserer Webseite. Die Schreibweise ist jedoch von Bedeutung. So würde „datenschutzservice.nrw-schulungen.com“ hingegen auf eine andere Webseite führen. Dies machen sich Angreifer zu Nutze und schreiben offizielle Webseiten mit einem Bindestrich, um augenscheinlich echt zu wirken.
  • Wenn Sie unsicher sind: Kontaktieren Sie den Anbieter bzw. Dienstleister auf offiziellem Wege. Nutzen Sie nicht die dort genannte Telefonnummer, da es sich hierbei ebenfalls um eine Fälschung handeln könnte. Gehen Sie auf die offiziellen Webseiten via Google. oder rufen Sie im Falle von Briefpost direkt ihren Bankberater bzw. Ansprechpartner an.
  • Führen Sie regelmäßige Softwareaktualisierungen auf Ihrem Smartphone durch

Wenn Sie eine Quishing-Versuch feststellen oder hereingefallen sind:

  • Erstatten Sie umgehend Anzeige bei der Polizei. Dies ist unkompliziert über die Onlineanzeigen der Bundesländer möglich, hier klicken. Durch aufmerksames und zügiges Handeln kann im Falle von Quishing-Versuchen somit weiterer Schaden eingedämmt werden. Denn es ist wichtig nicht nur Anzeige zu erstatten, wenn man selbst betroffen ist und Schaden erlitten hat, sondern ebenfalls, wenn jemand den Versuch unternommen hat. Dies kann maßgeblich zum Erfolg der Polizei beitragen.
  • Kontaktieren Sie unverzüglich Ihr Bankinstitut, wenn Sie feststellen, dass Sie auf die Masche hereingefallen sind, um den Zugang zu sperren. Hierfür können Sie auch den Sperrnotruf 116 116 nutzen.
  • Falls es sich um ein Diensthandy handelt oder Sie ihr privates Smartphone betroffen ist, mit dem Sie sich auch dienstlich einloggen: Verständigen Sie so schnell wie möglich den IT-Sicherheitsbeauftragten oder Ihren Datenschutzbeauftragten.

Egal ob Phishing, Quishing oder eine andere Methode: Seien Sie aufmerksam und seien Sie skeptisch. Sowohl privat als auch im beruflichen Kontext. Denn mittlerweile ist die Qualität der Mails, Briefe etc. so stark gestiegen, dass man teilweise wirklich sehr kritisch und aufmerksam sein muss, um diesen Betrugsversuch zu erkennen. Schulen Sie Ihre Mitarbeiter oder fordern Sie Schulungen in Ihrem Unternehmen ein. Der mögliche Schaden ist für Unternehmen weitaus größer als der Aufwand und die Kosten zu regelmäßigen Schulungen der Mitarbeiter.


Wir bieten verschiedene Online-Datenschutzschulungen an, kommen Sie einfach unverbindlich auf uns zu.

Veröffentlicht in Blog und verschlagwortet mit , , , , , , .