Während klassische Phishing-Angriffe mittlerweile gut bekannt sind, gibt es eine neue, raffinierte Bedrohung, die auf den ersten Blick harmlos erscheint: Quishing. Doch wie funktioniert Quishing genau, und wie können wir uns davor schützen?
Der Begriff „Quishing“ setzt sich aus „QR“ (Quick Response) und „Phishing“ zusammen.
Phishing bezeichnet einen Cyberangriff, bei dem Angreifer versuchen, sensible Informationen wie Passwörter oder Kreditkartendaten zu erlangen, indem sie sich als vertrauenswürdige Institution ausgeben.
Beim Quishing verwenden die Angreifer statt eines herkömmlichen Links einen QR-Code, der den Benutzer auf eine betrügerische Website oder zu einer schädlichen App führt.
QR-Codes sind quadratische Barcodes, die über das Smartphone gescannt werden und den Benutzer direkt zu einer bestimmten Webseite leiten.
Diese Technologie hat in den letzten Jahren durch die zunehmende Digitalisierung stark an Popularität gewonnen. QR-Codes finden sich heute auf Werbeplakaten, in Restaurants oder bei digitalen Zahlungen. Genau diese Popularität machen sich Cyberkriminelle zunutze.
Der typische Ablauf eines Quishing-Angriffs sieht wie folgt aus:
Üblicherweise werden gängige Funktionsweisen, die dem Endbenutzer Zeit ersparen als Einstiegspunkt genutzt. - Endbenutzer können dabei klassische Konsumenten, aber auch Mitarbeiter in IT-Abteilungen oder generell in Unternehmen sein.
Die schädliche Aktion wird, im Gegensatz zum Barcode, gegebenenfalls bereits durch den Scan ausgeführt. Der einfache 1D-Barcode enthält nur starre Werte Zahlen und Buchstaben, aber niemals eine URL oder Schadcode.
Quishing ist besonders gefährlich, weil es auf der wachsenden Nutzung von QR-Codes aufbaut.
Viele Menschen sind sich der potenziellen Gefahren beim Scannen von QR-Codes nicht bewusst und gehen davon aus, dass diese Technologie sicher ist.
Außerdem bietet das Scannen eines QR-Codes weniger Transparenz als das Klicken auf einen herkömmlichen Link: Während bei einem Link in einer E-Mail die URL oft sichtbar ist und auf verdächtige Zeichen überprüft werden kann, bleibt der Inhalt eines QR-Codes für den Benutzer zunächst unsichtbar.
Ein weiteres Problem ist, dass mobile Geräte im Zentrum solcher Angriffe stehen. Smartphones sind oft schlechter gegen Cyberangriffe geschützt als Computer, da viele Nutzer keine Antivirenprogramme oder Sicherheitsanwendungen auf ihren Handys installiert haben. Zudem sind mobile Betriebssysteme oft anfälliger für bestimmte Arten von Malware.
Durch die Bestätigung des Benutzers wird unbewusst das Sicherheitsbewusstsein gesenkt und der menschlicher Überraschungseffekt unterdrückt.
Quishing richtet sich sowohl an Privatpersonen als auch an Unternehmen.
Im Fokus stehen häufig Benutzer, die wenig technisches Verständnis haben und sich der Risiken von QR-Codes nicht bewusst sind. Unternehmen sind jedoch ebenfalls gefährdet, da Angreifer gezielt QR-Codes in geschäftlichen E-Mails platzieren oder auf Firmenveranstaltungen verteilen können.
Für Unternehmen ist es besonders gefährlich, da durch Quishing-Angriffe oft Zugangsdaten zu internen Netzwerken oder sensiblen Geschäftsdaten gestohlen werden können. Ein erfolgreicher Quishing-Angriff kann zu schwerwiegenden Datenlecks, finanziellen Verlusten und Reputationsschäden führen.
Trotz der potenziellen Bedrohung gibt es Maßnahmen, die sowohl Privatpersonen als auch Unternehmen ergreifen können, um sich vor Quishing-Angriffen zu schützen:
Die Vermeidung von QR-Codes bekommt hierbei eine besondere Bedeutung zu, denn Mitarbeiter können kaum oder nur unzureichend die Qualität und Gefährdungspotenziale erkennen. Andere Barcode-Typen, die keine Weiterleitung als Konzept beinhalten können dabei gefahrlos eingesetzt werden.
Quishing stellt eine ernstzunehmende Bedrohung in der digitalen Welt dar und baut auf die weitverbreitete Nutzung von QR-Codes auf.
Durch das Ausnutzen von Unachtsamkeit und fehlender Transparenz können Cyberkriminelle auf einfache Weise sensible Daten stehlen oder schädliche Software verbreiten.
Mittlerweile ist die Nutzung ein legitimer Standard geworden, wodurch die Hemmschwelle auf Nutzer-Seite deutlich gesunken ist. Hier fehlt aus der Gewohnheit heraus, mittlerweile die gesunde Vorsicht, vor dem Unbekannten dahinter.
Um sich vor Quishing zu schützen, ist es entscheidend, wachsam zu bleiben, Sicherheitsmaßnahmen zu ergreifen und QR-Codes nur von vertrauenswürdigen Quellen zu scannen. Ebenso sollte in sensiblen Bereichen, wie der IT auf die Nutzung von QR-Codes verzichtet werden, damit das Risiko rigoros gesenkt werden kann.
CTO
Herr van der Steeg ist bei der EntekSystems als Chief Technology Officer für alle Belange der Produktentwicklung und technischen Konzeption verantwortlich.
Kombiniert Hardware, Lizenzen, Verträge, Bestellungen und vieles mehr in einem System.
Weitere Artikel und Beiträge
QR-Codes sind in der Inventarverwaltung oft zu langsam, unsicher und überdimensioniert. Andere 1D-Barcodes bieten hingegen schnellere Scans, mehr Sicherheit und Effizienz. Warum also noch an QR-Codes festhalten?
Cyberattacken treffen Unternehmen hart – weit über IT-Schäden hinaus. Produktionsausfälle, Kundenverluste und hohe Folgekosten können das Geschäft massiv beeinträchtigen und die Reputation nachhaltig schädigen.
Die Domain ist für ein Unternehmen ein extrem wichtiges Asset. Was hat das eigentlich mit IT-Sicherheit zu tun und wie kann man die Domain-Sicherheit erhöhen? Heutiges Thema: Domain- und IT-Sicherheit: Bewahre dein Unternehmen vor Gefahren mit Daniel Strauß