QR-Codes haben sich in der heutigen Welt zum nützlichen Alltagsbegleiter gemausert. Ihr könnt mit ihnen Speisekarten aufrufen, Zahlungen tätigen, Kontaktdaten austauschen und viel mehr.
Diese Bequemlichkeit kann allerdings leicht ausgenutzt werden. Deswegen warnt jetzt auch das Landeskriminalamt NRW davor, jeden QR-Code zu scannen.
Was ist »Quishing«?
Quishing ist eine noch junge Form von »Phishing« – einer Betrugsmasche, bei der Angreifer versuchen, Informationen wie Passwörter oder Kreditkartendaten zu erlangen, indem sie sich als vertrauenswürdige Institutionen oder Personen ausgeben.
Anstelle von Links, die euch auf eine gefälschte Webseite weiterleiten oder die Schadsoftware auf eure Geräte herunterladen, kommen stattdessen QR-Codes zum Einsatz.
- Bis auf den Verzicht auf einen Link unterscheidet sich die Vorgehensweise der Cyberkriminellen nicht von gewöhnlichen Phishing-Angriffen.
- Die Täter täuschen meistens einen dringenden Handlungsbedarf vor, wie zum Beispiel für ein erwartetes Paket, einer Überweisung oder eine notwendige Passwortänderung.
Was macht unbekannte QR-Codes so gefährlich?
QR-Codes fliegen unter dem Radar: Im Gegensatz zu verdächtigen Links oder Dateien, werden bösartige QR-Codes von Anti-Viren-Programmen nicht erkannt und landen ungehindert in eurem E-Mail-Posteingang. Sie werden stattdessen einfach als Bild erkannt, weshalb Sicherheitsprogramme kein Risiko in ihnen sehen.
QR-Codes nutzen unser Vertrauen: Digitale Geräte sind heute eng miteinander verknüpft, weshalb wir uns längst an Sicherheitsabfragen über das Smartphone gewohnt haben. Genau deshalb funktioniert Quishing: Es gibt nicht wenige Menschen, die keinen Verdacht schöpfen, wenn eine E-Mail sie auffordert, mit einem Handy einen QR-Code zu scannen, um weitere Schritte zu unternehmen.
Sie können auch im Briefkasten landen: Im Gegensatz zu Links oder Dateianhängen können Betrüger auch gefälschte Briefe in eure Briefkästen werfen, die von namhaften Kreditinstituten stammen sollen. Was daran besonders gefährlich ist: Im Gegensatz zu digitalen Nachrichten könnt ihr keine verdächtige URL oder Domain überprüfen. Die Betrüger können die Briefe sehr echt wirken lassen.
So erkennt ihr Quishing und schützt euch
Nicht scannen: Wenn ihr einen solchen QR-Code per SMS, E-Mail, Post oder auf andere Wege erhalten habt, dann solltet ihr ihn am besten nicht scannen und das vorgetäuschte Unternehmen auf direkten Wege kontaktieren, wenn ihr nicht sicher seid, ob wirklich Handlungsbedarf besteht. Behandelt den QR-Code genauso wie einen verdächtigen Link – nicht anklicken, nicht scannen.
Prüft die Domain oder die URL: Stammt der QR-Code von einem Absender mit verdächtig aussehender E-Mail-Adresse oder URL, dann ist die Wahrscheinlichkeit sehr groß, dass es sich um einen Betrug handelt.
- Haltet Ausschau nach Tippfehlern oder ungewöhnlichen E-Mail-Domains. Zum Beispiel würde euch Amazon niemals eine E-Mail von einer Gmail-Adresse schicken.
- Echte Unternehmen senden euch in der Regel keinen QR-Code, wenn es dringenden Handlungsbedarf gibt.
Sensibilisiert Kollegen und Mitarbeiter: Nicht selten werden Phishing- und Quishing-E-Mails an Unternehmen gesendet, um an sensible Daten oder Logins zu kommen. Der beste Schutz davor ist die Weiterbildung aller Beschäftigten. Die Sicherheitsvorkehrungen, die für Firmenrechner und Notebooks zählen, müssen auch auf Firmensmartphones angewendet werden.
Richtet Multi-Faktor-Authentifizierungen ein: Sollten Cyberkriminelle eure Login-Daten erhalten, können sie vorerst nichts damit anstellen, solange ihr eine Multi-Faktor-Authentifizierung eingerichtet habt. Es ist also ratsam, diese wichtige Hürde bei euren Konten einzurichten.
Wie sieht es bei euch aus? Habt ihr selbst schon einmal eine Quishing-Attacke erlebt? Bei euch selbst oder bei jemanden aus dem engeren Kreis? Habt ihr an eurem Arbeitsplatz jemals über gefährliche E-Mails oder QR-Codes geredet oder ist das ein Thema, das eurer Meinung nach noch zu wenig behandelt wird? Schreibt es uns gerne in die Kommentare!
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.