Mobile-Menu

Definition Was ist Quishing

Von Erik1 2 min Lesedauer

Anbieter zum Thema

G DATA CyberDefense AG
WatchGuard Technologies GmbH

Der Begriff „Quishing“ setzt sich aus den Fachtermini „QR-Code“ und „Phishing“ zusammen. Er beschreibt eine neue Masche von Kriminellen: den Versuch, mittels QR-Code an sensible Daten zu gelangen – insbesondere Kontoinformationen und Login-Daten.

Grundlagenwissen zum IT-Business(Bild: © adiruch na chiangmai - Fotolia.com)
Grundlagenwissen zum IT-Business
(Bild: © adiruch na chiangmai - Fotolia.com)

QR ist die Abkürzung für „Quick Response“ (übersetzt „schnelle Antwort“). Es handelt sich um einen zweidimensionalen Code, der mit einer Smartphone-Kamera erfasst und gelesen wird. Beispiel: Die im QR-Code enthaltenen Informationen ermöglichen dem Nutzer des Smartphones, eine Webseite zu besuchen oder in eine Lokalität einzuchecken.

Virenscanner erkennen QR-Codes nicht

Da Virenscanner nicht in der Lage sind, QR-Codes zu erfassen, stellen diese – gerade in E-Mails – ein Sicherheitsrisiko dar. Das Sicherheitsprogramm erkennt in dem Code lediglich ein harmloses Bild, obwohl sich in Wahrheit ein Phishing-Versuch dahinter verbirgt. Sobald der Nutzer den QR-Code in der E-Mail einscannt, wird er auf eine gefälschte Webseite weitergeleitet.

Der alltägliche Umgang mit QR-Codes entwickelt sich zur Gefahr

QR-Codes sind für die meisten Menschen zu einem vertrauten Anblick geworden. Ob beim Coronatest, beim Restaurantbesuch oder bei der Besichtigung einer Sehenswürdigkeit – QR-Codes sind aus dem Alltag nicht wegzudenken. Diesen Vertrauensvorschuss nutzen Kriminelle beim QR-Code-Phishing rücksichtslos aus, denn: Kaum jemand vermutet beim Anblick eines QR-Codes eine kriminelle Aktivität.

Wie gehen Cyberkriminelle beim QR-Code-Phishing vor?

Ein typischer Quishing-Angriff erfolgt in mehreren, aufeinander folgenden Schritten:

  • Cyberkriminelle verschicken E-Mails, die einen QR-Code enthalten
  • In der E-Mail werden Nutzer dazu aufgefordert, den QR-Code einzuscannen
  • Die Aufforderung wird mit einer hohen Dringlichkeit vorgebracht – etwa durch die Androhung einer Kontosperre
  • Der Nutzer scannt den QR-Code und landet auf einer Fake-Webseite
  • Zweite Möglichkeit: Durch das Einscannen wird Schadsoftware heruntergeladen
  • Auf der gefälschten Webseite muss der Nutzer vertrauliche Informationen eingeben
  • Cyberkriminelle nutzen entweder die Schadsoftware oder die vertraulichen Informationen, um kriminelle Handlungen zu begehen

Für diese Daten interessieren sich Cyberkriminelle

Bedrohungsakteure versuchen mittels QR-Code-Phishing, an sensible Informationen zu gelangen, die normalerweise nicht frei zugänglich sind. Besonders interessant aus der Sicht von kriminellen Hackern sind: Kundendaten, persönliche Daten, Login-Daten, Nutzerdaten und Zahlungsdaten.

Wo besteht im Alltag die Gefahr von Quishing?

Aufgrund der hohen Akzeptanz von QR-Codes ist nahezu jeder Bereich des Alltags von Quishing betroffen. Angebote, E-Mails, Fahrpläne, Unternehmenswebseiten, Touristinformationen – theoretisch lauert die Gefahr überall.

Was hilft gegen Quishing?

Zu den wirkungsvollsten Maßnahmen gegen QR-Code-Phishing gehört ein gesundes Misstrauen gegenüber QR-Codes. Nutzer sollten diese nur dann einscannen, wenn die Quelle bekannt und vertrauenswürdig ist.

(ID:49451726)

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Weiterführende Inhalte

Jobs