-
Quishing:
Die unsichtbare Gefahr hinter QR-Codes
QR-Codes gehören mittlerweile zum Alltag – ob in Restaurants, auf Plakaten oder bei Log-ins. Doch diese Allgegenwart nutzen Cyberkriminelle für sogenannte Quishing-Angriffe. Dabei handelt es sich um eine spezielle Form des Phishings, bei der betrügerische QR-Codes Nutzende auf gefälschte Webseiten führen oder Schadsoftware auf deren Geräte schleusen.
Auf dieser Seite erfahren Sie, wie Quishing funktioniert, wie Sie gefälschte QR-Codes erkennen und sich vor diesen schützen können.
Das Wichtigste in Kürze:
Quishing ist eine gefährliche Form des Phishings, bei der Kriminelle mit bösartigen QR-Codes Schadsoftware verbreiten oder auf gefälschte Webseiten leiten.
Besonders perfide: Der in einem QR-Code enthaltene Link ist nicht unmittelbar einsehbar – viele Nutzende vertrauen der Vorschau des Links, die nach dem Scannen angezeigt wird, und öffnen ihn ohne komplette Prüfung.
Mit wachsamer Prüfung der vollständigen Internetadresse, dem Verzicht auf das Scannen verdächtiger Codes und regelmäßigen Software-Updates lässt sich das Risiko deutlich verringern.
Wie funktioniert Quishing?
Quishing basiert darauf, dass der Inhalt eines QR-Codes – meist eine Internetadresse – nicht direkt einsehbar ist. Kriminelle platzieren solche QR-Codes digital, etwa in E-Mails, oder physisch auf Aufklebern, Plakaten und Alltagsgegenständen. Wer diese Codes arglos scannt, kann, ohne es zu merken, auf eine gefälschte Webseite gelangen oder eine Datei herunterladen, die Schadsoftware enthält.
Warum ist Quishing so gefährlich?
Quishing greift gezielt menschliche Gewohnheiten und technische Schwachstellen an. Im Folgenden erfahren Sie, warum diese Betrugsmasche besonders perfide ist.
Vertrauensvorschuss beim Scannen
QR-Codes sind für viele Menschen selbstverständlich geworden. Häufig wird ein Code gescannt, ohne die Quelle oder die Zieladresse zu hinterfragen – ein gefährlicher Automatismus.
Filter umgehen Sicherheitsmechanismen
Während in E-Mails herkömmliche Phishing-Links von Spam-Filtern oft erkannt werden, können QR-Codes diese Schutzvorkehrung umgehen. In E-Mails eingebettet, werden sie größtenteils als harmlose Bilder interpretiert.
Unsichtbare Bedrohung
Ein QR-Code enthält eine Internetadresse, die für das menschliche Auge nicht sichtbar ist. Wird dieser Link automatisch geöffnet oder zuvor nicht ausreichend geprüft, kann dies unmittelbar zur Infektion mit Schadsoftware führen.
Automatisches Öffnen des Links
Manche Kamera-Apps oder eigens installierte QR-Code-Scanner-Apps öffnen die im QR-Code hinterlegte Adressen automatisch – eine Einladung für Schadprogramme, sich unbemerkt zu installieren.
Weite Verbreitung
Bösartige QR-Codes tauchen nicht nur in betrügerischen E-Mails und Briefen auf. Um Zugriff auf sensible Daten zu erhalten, bringen Kriminelle sie auch in Form von Aufklebern an Parkautomaten, Ladesäulen und Verpackungen an und drucken sie auf Flyer und betrügerische Gewinnspielkarten.
So erkennen Sie betrügerische QR-Codes
Viele Quishing-Angriffe lassen sich mit etwas Aufmerksamkeit und Vorsicht frühzeitig entlarven. Achten Sie auf die folgenden Merkmale, um sich zu schützen:
- Prominente oder ungewöhnliche Platzierung
Damit ihre betrügerischen QR-Codes zahlreich gescannt werden, verschaffen Kriminelle ihnen hohe Aufmerksamkeit. Sie überkleben mit ihnen legitime QR-Codes etwa auf Ladesäulen, befestigen gefälschte Strafzettel mit QR-Codes an Autos. Achten Sie z.B. auf sichtbare Klebestellen rund um den QR-Code. - Verkürzte oder verschleierte URLs
Moderne QR-Code-Scanner zeigen oft nur eine Kurzversion des Links an. Diese kann irreführend sein. Prüfen Sie daher, ob es eine Option gibt, die vollständige URL anzuzeigen. Nur so können Sie feststellen, ob Sie auf einer legitimen Website landen. - Aufforderung zur Dateneingabe
Werden Sie nach dem Scannen eines QR-Codes und dem Öffnen des darin enthaltenen Links unerwartet zur Eingabe von Log-in-Daten oder Zahlungsinformationen aufgefordert, sollten sofort alle Alarmglocken läuten. Seriöse Anbieter verlangen solche Informationen nie ohne vorherige Authentifizierung.
Schutzmaßnahmen gegen Quishing
Sich gegen Quishing zu schützen, erfordert keine komplizierten Maßnahmen – sondern vor allem Aufmerksamkeit und digitales Verantwortungsbewusstsein.
- Nur vertrauenswürdige QR-Codes scannen
Scannen Sie einen QR-Code nur, wenn Sie dessen Quelle eindeutig als vertrauenswürdig identifizieren können – etwa in offiziellen Apps, Printmaterialien bekannter Marken oder direkt auf Unternehmenswebseiten. - Fürs Scannen sichere Apps nutzen
Verwenden Sie am besten die native Kamera-App, die zum aktuellen Betriebssystem Ihres Geräts gehört, und machen Sie sich mit deren Funktionen fürs Scannen von QR-Codes vertraut. Kostenfreie Scanner-Apps von Drittanbietern können Sicherheitslücken aufweisen. - Keine sensiblen Daten preisgeben
Ein QR-Code sollte niemals der Einstiegspunkt für die Preisgabe von Zugangsdaten, Bankverbindungen oder persönlichen Informationen sein. Rufen Sie dazu immer offizielle Webseiten oder Apps auf oder kontaktieren Sie im Zweifelsfall den Absender über eine Ihnen bekannte Adresse/Telefonnummer. - Betriebssystem des Smartphones aktuell halten
Regelmäßige Updates des Betriebssystems erhöhen den Schutz vor neuartigen Angriffsmethoden wie Quishing erheblich, da neue Versionen bekannt gewordene Sicherheitslücken schließen.
Was tun im Verdachtsfall?
Handeln Sie möglichst schnell, wenn Sie vermuten, auf eine gefälschte Webseite geleitet worden zu sein oder unbemerkt Schadsoftware installiert zu haben.
- Antivirenprüfung durchführen
Scannen Sie Ihr Gerät mit einer aktuellen Sicherheitssoftware auf mögliche Bedrohungen. - Passwörter ändern
Ändern Sie Ihre Zugangsdaten sofort, wenn Sie den Verdacht haben, dass sie in falsche Hände geraten sein könnten – besonders dann, wenn Sie diese auf einer möglicherweise gefälschten Webseite eingegeben haben. - Offizielle Stellen informieren
Melden Sie verdächtige QR-Codes oder Webseiten umgehend der Polizei oder einer Verbraucherzentrale. Auf diese Weise helfen Sie, andere vor der gleichen Masche zu schützen.
Fazit: Quishing verhindern
Quishing ist eine raffinierte Form des Phishings, bei der Nutzende über bösartige QR-Codes auf betrügerische Webseiten geleitet werden oder unwissentlich Schadsoftware auf ihre Geräte laden. Die Angriffe sind besonders gefährlich, weil sie einfach durchzuführen sind und viele Menschen QR-Codes als vertrauenswürdig ansehen. Doch mit wachem Blick, etwas Hintergrundwissen und der Bereitschaft, zweifelhafte Aufforderungen zu hinterfragen, können Sie sich effektiv schützen.
FAQ: häufige Fragen zu Quishing
Zeige Inhalt von Wie erstellen Kriminelle die gefälschten QR-Codes?
Cyberkriminelle erstellen die QR-Codes meist selbst mithilfe kostenloser Online-Generatoren. Sie platzieren diese dann gezielt in E-Mails, auf Aufklebern, Plakaten oder gefälschten Webseiten – oft getarnt als legitim wirkende Angebote oder Aufforderungen – auch von Behörden.
Zeige Inhalt von Wie erkenne ich einen gefährlichen QR-Code?
Achten Sie bei prominent platzierten QR-Codes darauf, ob ein bereits vorhandener legitimer QR-Code durch einen anderen überklebt wurde, beispielsweise auf Ladesäulen und Parkscheinautomaten.
Halten Sie es für möglich, dass es sich bei Strafzetteln am Auto oder bei Briefen im Namen bekannter Unternehmen, die einen QR-Code enthalten, um Betrugsversuche handeln könnte.
Werden Sie skeptisch, wenn der enthaltene Link uneindeutig oder auffallend kurz ist und Sie nach dem Öffnen des Links im Browser Ihres Gerätes unerwartet zur Eingabe sensibler Daten aufgefordert werden. Im Zweifel: nicht scannen!
Zeige Inhalt von Warum ist Quishing besonders tückisch?
Weil der im QR-Code enthaltene Link vor dem Scannen nicht sichtbar ist. Schon der Klick auf die angezeigte Vorschau des Links kann bewirken, dass Sie Opfer eines Angriffs mit Schadsoftware werden, ohne dass Sie es sofort bemerken. Daher sind Scanner-Apps, die den enthaltenen Link automatisch im Browser öffnen, besonders gefährlich.