QR-Code-Phishing :: Technische Hochschule Würzburg-Schweinfurt

Quishing

Der Begriff „Quishing“ setzt sich aus den englischen Wörtern „QR-Code“ und „Phishing“ zusammen. Cyberkriminelle nutzen schon seit langem Phishing Methoden, um ihre Opfer auf betrügerische Webseiten zu leiten. Dabei verwenden sie zunehmen nicht nur E-Mails, sondern auch physische Medien wie Briefe oder Aufkleber, die dann per QR-Code für die Weiterleitung auf die betrügerischen Websites sorgen. So warnte beispielsweise die Würzburger Versorgungs- und Verkehrs-GmbH (WVV) kürzlich vor manipulierten QR-Codes an Parkscheinautomaten (https://www.tvmainfranken.de/wvv-warnt-vor-betrugsmasche-falsche-qr-code-aufkleber-an-parkscheinautomaten-385507/).

Die Gefahr: QR-Codes, egal ob in E-Mails, auf Briefen oder als Aufkleber im öffentlichen Raum werden von den QR Code Lesern meist nur rudimentär überprüft und die im QR Code enhaltenen Links werden, so lange sie keine bekannte Schadsoftware verbreiten, nicht speziell gekennzeichnet oder blockiert. Wenn also eine im QR-Code verlinkte, gefälschte Website (z.B. Banking, Social Media, …) zur Eingabe von persönlichen (Zugangs-) Daten auffordert, kann dies unter Umständen ganz ohne irgendwelche Browserwarnungen geschehen.

Diese Punkte helfen dabei schädliche QR-Codes in E-Mails zu erkennen:

Achten Sie auf die bekannten Merkmale für Phishing Angriffe, wie z.B. unpersönliche Anreden, ungewöhnliche Formulierungen, fehlerhafte Rechtschreibung oder eine auffällige Absenderadresse bei E-Mails mit QR-Codes.
Seien Sie besonders vorsichtig bei E-Mails, die Druck ausüben, mit Ängsten arbeiten und zur schnellen Handlung auffordern.

Wie kann ich mich gegen manipulierte QR-Codes auch außerhalb von E-Mails schützen?

Prüfen Sie, ob QR-Codes im öffentlichen Raum überklebt wurden oder irgendwieverdächtig wirken und verwenden Sie nach Möglichkeit nur QR-Codes auf Bildschirmen (z.B. bei Ladesäulen, Parkautomaten, …), da diese schwerer zu fälschen sind.
Verwenden Sie Multi-Faktor-Authentifizierung (MFA) für sensible Konten, beispielsweise beim Online-Banking. So bleiben Ihre Daten selbst dann geschützt, wenn Zugangsdaten abgegriffen wurden.
Nach dem Scannen: Achten Sie darauf, ob die angezeigte URL seriös erscheint, und ob Zahlungsaufforderungen realistisch und nachvollziehbar sind.
Geben Sie keine sensiblen Daten ein, wenn Sie Zweifel an der Echtheit der Seite haben, auf die Sie weitergeleitet wurden.

Quellen
https://www.tvmainfranken.de/wvv-warnt-vor-betrugsmasche-falsche-qr-code-aufkleber-an-parkscheinautomaten-385507/
https://www.mainpost.de/regional/wuerzburg/neue-betrugsmasche-in-wuerzburg-wvv-warnt-vor-falschen-qr-codes-auf-parkscheinautomaten-art-11694179
https://www.polizei-dein-partner.de/themen/internet-mobil/detailansicht-internet-mobil/artikel/vorsicht-quishing.html
https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/quishing-falsche-qrcodes-in-mails-briefen-oepnv-und-strassenverkehr-98612