Quishing: Betrug mit QR-Codes

QR-Codes haben sich zu einem festen Bestandteil unseres Alltags entwickelt. Sie finden sie beispielsweise in E-Mails, in Briefen oder im öffentlichen Leben. Cyberkriminelle setzen diese QR-Codes mittlerweile für Phishing-Angriffe ein. Diese Bedrohung ist unter dem Begriff «Quishing» bekannt.

Beim Quishing handelt es sich um eine Betrugsmasche, die Kriminelle vorwiegend im Internet nutzen. Es ist ein Kofferwort, das sich aus den Begriffen QR-Code und Phishing zusammensetzt. 

Quishing-E-Mails beinhalten in der Regel eine dringende Handlungsaufforderung, ein Beispiel hierfür wäre: «Scannen Sie sofort diesen QR-Code, um Ihre persönlichen Informationen und das Passwort zu aktualisieren, ansonsten wird Ihr Bankkonto gesperrt.» Anders als beim Phishing geschieht dies jedoch nicht über einen Link, sondern durch das Scannen eines QR-Codes mit dem Smartphone. Grundsätzlich ist Quishing eine Form von Phishing.

Was ist ein Phishing-Angriff?

Der Begriff Phishing  setzt sich aus den englischen Wörtern «Fishing» (fischen) und «Phreaking» (hacken) zusammen. Bei einer Phishing-Attacke versuchen Cyberkriminelle an sensible Daten wie Passwörter, Kredit- oder Debitkartendetails, Telefonnummern oder andere persönliche Daten von Privatpersonen oder Unternehmen zu kommen. Sie gehen dabei sehr geschickt vor und nutzen im Vorfeld auch Telefonanrufe oder einen der folgenden Kanäle:

• E-Mails
• SMS
• Soziale Medien (WhatsApp , Instagram, Facebook Messenger etc.)
• Webseiten

Besonders häufig kontaktieren die Kriminellen ihre vermeintlichen Opfer per E-Mail. Dabei sehen die aufbereiteten E-Mails den vorgeblich seriösen Absendern (z. B. Banken, Logistikdienste etc.) sehr ähnlich, da das Wording und das Layout der Firmen meist täuschend echt imitiert werden.

Beispielsweise fordern die Betrüger die Empfängerinnen und Empfänger dazu auf, ihre Bank-Login-Daten zu aktualisieren. Geschieht das nicht direkt, drohen sie mit einer Kontosperrung. Oft werden fadenscheinige Gründe angegeben, wie zum Beispiel die Wahrung der Sicherheit des Kontos. In der E-Mail befindet sich ein Link, den die Empfängerinnen und Empfänger anklicken sollen, woraufhin diese zur betrügerischen Webseite gelangen und dort zur Eingabe ihrer Bank-Login-Daten aufgefordert werden. Was die Angeschriebenen nicht wissen: Das Portal stammt nicht von ihrer Bank, sondern von Cyberkriminellen, die durch diese Masche in den Besitz der Bank-Login-Daten gelangen und somit Zugriff auf das Bankguthaben ihrer Opfer erhalten. Das ist nur eines von vielen Beispielen.

Wie funktioniert QR-Phishing?

Beim Quishing werden fremde QR-Codes angeboten, oft auf Menü-Karten in Restaurants oder als Zahlungsmittel. Mit dem blossen Auge sind sie nicht als schädlich zu identifizieren. Das Scannen führt auf eine Seite, auf der meist zum Eingeben von Zahldaten aufgefordert wird. Oft sind die Opfer in Eile, wollen schnell etwas bezahlen oder erledigen. Die wichtige Überprüfung der Echtheit der Seite findet häufig nicht statt.

Fast immer verwenden Kriminelle auch Social Engineering, um Vertrauen zum Opfer aufzubauen. Sobald die Kriminellen die Empfängerin oder den Empfänger dazu verleitet haben, den QR-Code mit dem Smartphone zu scannen, beispielsweise um einen Gewinn aus einem Glücksspiel zu erhalten, gelangen diese auf eine Phishing-Seite.

Damit man auf diesen vermeintlichen Gewinn zugreifen kann, fragen Betrügerinnen und Betrüger an diesem Punkt persönliche Informationen wie Vor- und Nachname, die Adresse, die E-Mail-Adresse, das Geburtsdatum und die Kreditkartendaten ab. In manchen Fällen werden so auch die Anmeldedaten bestimmter Internet-Konten der Nutzerinnen und Nutzer erschlichen. Hat das Opfer alle sensiblen Informationen preisgegeben, nutzen die Cyberkriminellen sie zum Beispiel für:

• Ransomware-Attacke
• Identitätsbetrug
• Finanzbetrug

Quishing ist deutlich schwieriger zu erkennen und zu blockieren als normales Phishing. Statt eines direkt im Nachrichtentext eingebetteten Links, der leichter von IT-Schutzprogrammen entdeckt werden kann, setzt ein Quishing-Angriff auf QR-Codes, die von den Sicherheitsprogrammen nur als Bild gelesen werden und deshalb nicht als Gefahr erkannt werden. So landen die Quishing-Mails trotz Sicherheitsschutz in Ihrem Postfach, wo sie auch für das menschliche Auge schwieriger als Hacking-Angriff zu entlarven sind, da die URL nicht direkt zu sehen ist.

Wie können Sie einen Quishing-Angriff erkennen?

Es gibt unterschiedliche Methoden, wie Sie einen Quishing-Angriff erkennen können. Dazu gehören:

• Nehmen Sie den Absender genau unter die Lupe: Kriminelle benutzen in Phishing- und Quishing-E-Mails oft gefälschte E-Mail-Adressen von dem Unternehmen, für das sie sich ausgeben. Manchmal haben die Namen der E-Mail-Adressen auch gar keinen Bezug zum Namen des Unternehmens, was offensichtlicher verdächtig ist. Überprüfen Sie, ob die Mailadresse zum Unternehmen passt, und versichern Sie sich, dass keine Rechtschreibfehler oder Nullen anstelle von Os darin enthalten sind. Seien Sie skeptisch gegenüber allen E-Mails, die Sie empfangen.
• Überprüfen Sie den Text: Phishing- und Quishing-E-Mails zielen in der Regel darauf ab, die Nutzerinnen und Nutzer durch bestimmte Methoden zu manipulieren. Sie erzeugen in den Textnachrichten üblicherweise eine Art Dringlichkeit, um den Erfolg des Angriffs zu maximieren. Oft nutzen sie auch künstliche Intelligenz, um beispielsweise den Schreibstil eines bestimmten Unternehmens zu kopieren. Deshalb sollten Sie gerade bei E-Mails, die Sie zum sofortigen Handeln auffordern, vorsichtig sein.
• Kontrollieren Sie den QR-Code: QR-Codes werden in Mails häufig im Anhang , z. B. in einer Rechnung oder als Bild, mitgeschickt. Überprüfen Sie die QR-Codes auf Auffälligkeiten: Fehlt das Branding-Zeichen, weist es Fehler auf oder ist die Platzierung unüblich? Falls Sie sich nicht sicher sind, können Sie auch versuchen, mit dem Vorschaumodus Ihres Handys zu sehen, wohin der Link führt. Halten Sie dazu Ihre Kamera über den QR-Code und schauen Sie sich den Link an, der unten auf Ihrem Bildschirm zu sehen ist, klicken Sie ihn aber nicht an!

Im Namen einer Schweizer Bank schickten Kriminelle dieses Jahr Briefpost mit einem QR-Code an Tausende von Haushalten in der Schweiz. Es wurde zum Scannen des Codes aufgefordert, um angeblich aus Sicherheitsgründen den PhotoTAN fürs Online-Banking zu reaktivieren. Es wurde Zeitdruck vorgetäuscht und damit gedroht, bei Nichtscannen des QR-Codes das Online-Banking zu sperren. Die so Getäuschten scannten den QR-Code, gelangten auf eine gefälschte Webseite im Design der Bank und gaben dort ihre Login-Daten fürs Online-Banking ein. Bei der Eingabe des vollständigen Bank-Logins kam es zu massiven finanziellen Verlusten – in der Regel lehnen die Banken die Haftung für so entstandene Schäden ab, da ihre Sicherheitsmechanismen funktioniert haben. Die Opfer wurden durch Manipulation der Kriminellen auf bankfremde Seiten geleitet.

Der QR-Code-Betrug ist eine reale Bedrohung, der sowohl Privatpersonen als auch Unternehmen ausgesetzt sind. Sofern Sie sich an die genannten Vorsichtsmassnahmen halten und sich regelmässig über neue Betrugsmaschen informieren, dämmen Sie die Gefahr, dem Quishing zum Opfer zu fallen, ein.