Im Rahmen des European Cyber Security Month warnt die Polizei vor einer neuen, besonders gefährlichen Betrugsmasche: dem sogenannten Quishing. Um an sensible Daten zu gelangen, lassen sich Cyberkriminelle stets neue Maschen einfallen. Der Betrug mithilfe von QR-Codes ist eine der neusten Vorgehensweisen.
Wie gehen die Kriminellen bei der Betrugsmasche vor?
Die Betroffenen erhalten eine E-Mail, in deren Betreff auf ein vermeintliches Sicherheitsproblem hingewiesen wird. Um dieses zu lösen, werden die Opfer aufgefordert, schnell zu handeln. Beispielsweise indem sie durch das Scannen eines QR-Codes zu einem Dokument gelangen oder auf eine gefälschte Website geleitet werden.
„Entweder laden Nutzer Dokumente herunter, die mit Malware verseucht sind, oder sie geben Log-in-Daten ein, die direkt an die Betrüger weitergeleitet werden“, erklärt Patrycja Schrenk, Geschäftsführerin des Internet Security Spezialisten PSW Group.
Nach Angaben der Polizei wird die Masche unter anderem dazu verwendet, um an die Log-in-Daten für den Cloud-Service Microsoft 365 zu gelangen. Da QR-Codes mittlerweile weitverbreitet sind und häufig zum Einsatz kommen, erweckt die betrügerische Masche bei den Betroffenen meist zunächst kein Argwöhnen. Nutzer von digitalen Geräten sind es gewohnt, entsprechende Sicherheitsabfragen mittels QR-Codes vorzunehmen, um Computer, Smartphones oder andere Geräte miteinander zu verknüpfen.
Was ist Quishing?
Quishing bezeichnet die Nutzung von Quick Response (QR)-Codes bei Phishing-Angriffen. Die Bezeichnung setzt sich aus den Begriffen „Phishing“ und „QR“ zusammen. Die neue Betrugsvariante ist besonders gefährlich, da viele Sicherheitstools und Antiviren-Programme nicht dazu in der Lage sind, die Gefahr zu erkennen. Da die Quick Response-Codes von den Programmen als Bild erkannt werden, wird kein mögliches Sicherheitsrisiko festgestellt. Auf diese Art und Weise können die Cyberkriminellen mit der neuesten Onlinebetrugs-Variante die meisten Sicherheitsmaßnahmen umgehen. Die Folge: Die gefälschten E-Mails landen unbeanstandet in den Postfächern der Betroffenen. Genau wie bei anderen Phishing-Angriffen ist das Ziel der Betrüger, an sensible Daten der Opfer zu gelangen. Anschließend werden diese missbräuchlich eingesetzt, beispielsweise um Online zu shoppen oder sich in geschützte Netzwerke einzuloggen. Die betrügerischen Codes werden nicht nur per E-Mail, sondern auch per SMS oder via Social-Media-Posts in Umlauf gebracht.
Wie können sich Verbraucher schützen?
Um das Risiko zu reduzieren, Opfer der neusten Betrugsmasche zu werden, sollten Verbraucher E-Mails genau überprüfen. Denn auch wenn es sich auf den ersten Blick um eine Nachricht von scheinbar offizieller Stelle handelt, kann diese gefälscht sein. Grundsätzlich sollten QR-Codes – genau wie Links – nicht geöffnet werden, die aus einer unbekannten Quelle stammen. Im Zweifel sollte der Absender auf einem anderen, offiziellen Weg kontaktiert werden, um nachzufragen, ob es sich um eine authentische E-Mail handelt. Mit der Verwendung einer Multi-Faktoren-Authentifizierung kann verhindert werden, dass sich die Cyberkriminellen erfolgreichen Zugang verschaffen. Denn selbst wenn das Passwort abgefischt wurde, fehlt der zweite oder dritte Faktor, um sich einzuloggen. Oftmals sind – insbesondere in Unternehmen – hauptsächlich Computer durch gute Sicherheitsvorkehrungen geschützt. Die neusten Betrugsmaschen offenbaren die Dringlichkeit, entsprechende Vorkehrungen auch bei Smartphones zu treffen. Damit das Risiko des Betrugs sinkt, sollte auf ein Sicherheitstool zurückgegriffen werden, das auch gefälschte QR-Codes erkennt.
was aber, wenn örtliche Elektronikmärkte noch nicht mal was – und das im Jahr 2023 – von 2- bzw. Multi-Faktoren-Authentifizierung gehört haben und die Zubehörteile gar nicht bestellen und entsprechend auch gar nicht den Kunden verkaufen (können)?
ich wollte mir einen FIDO-2-Faktoren-Authentifizierungs-USB-Stick kaufen. der Verkäufer hatte mich angesehen, als wäre ich von einem anderen Sonnensystem. „was ist das denn? davon habe ich noch nie was gehört. sowas haben wir nicht im Sortiment.“
da scheint Sicherheit gar nicht so für Private erwünscht zu sein, wenn ich mir dieses Statement dieses Marktes durch den Kopf gehen lasse.
es gibt noch mehr solche „Stil-Blüten“, die die Sicherheitswillen von Privaten blockieren. selbst erfahren. da machte ich in einem anderen Gerät ein System-Update und mußte erkennen daß der G-Android-Service doch tatsächlich einen Malware-Scanner gehackt hatte und den Zugang zum Bedienungshilfeservice sperrte, so daß das Webfiltering nicht mehr angewendet werden konnte. Webfiltering blockiert auf Willen des Nutzers Websites mit gewaltätigen unseriösen kriminellen Inhalten. außerdem wurde durch diesen G-Hack (denn nur G. hat Zugriff auf den Bedienungshilfe-Algotithmus) das Erkennen von Malware-Apps, die in den App-Stores hochgeladen wurden, blockiert. da kann man gut beratend veröffentlichen. aber was, wenn man die Sicherheiten gar nicht mehr benutzen kann, weil gehackt wurden? ich bewahre dieses Gerät zum Beweis sicher auf. wer weiß, vielleicht dreht sich der Wind mal zugunsten der sicherheitsbewußten Privaten.