Kontakt Podcast Blog Jobs 4 0

Quishing: Warum diese neue Betrugsmasche so gefährlich ist und wie Sie sich schützen 

Eine neue Bedrohung macht die Runde: Quishing. Betrüger nutzen QR-Codes, um über Offline-Kanäle an sensible Daten zu gelangen. Erfahren Sie, wie diese Masche funktioniert und wie Sie sich effektiv davor schützen können. 

Was ist Quishing? 

Phishing, wörtlich übersetzt „Passwortfischen“ (password fishing), ist vielen ein Begriff. Quishing hingegen ist eine Weiterentwicklung dieser Technik, bei der QR-Codes als Angriffsmittel eingesetzt werden. 

Cyberkriminelle möchten, dass Sie einen QR-Code scannen. Da der Link erst nach dem Scannen sichtbar wird, wird er oft von automatischen Sicherheitsscannern in E-Mails nicht erkannt. Dadurch landen betrügerische Nachrichten häufiger im Posteingang, statt im Spam-Ordner. 

Wie bei allen Phishing-Angriffen geht es den Kriminellen primär darum, Passwörter abzugreifen und für kriminelle Zwecke einzusetzen. 

Um Sie zu täuschen, nutzen die Absender gefälschte E-Mail-Adressen und leiten Sie auf eine nachgebaute Fake-Website – ähnlich wie bei herkömmlichen Phishing-Attacken, jedoch mit dem Unterschied, dass der QR-Code als „versteckter“ Link fungiert. Vorsicht also, welche Website sich nach einem QR-Scan öffnet. 

Eine weitere Masche ist auch oft ein Dokument oder eine Rechnung, die mithilfe des QR-Codes leicht heruntergeladen werden kann. Dahinter verbirgt sich jedoch ein mit Schadsoftware verseuchtes Dokument.  

Werden Sie ebenfalls hellhörig, wenn vertrauliche Daten wie Passwörter oder TANs abgefragt werden oder „dringender Handlungsbedarf“ besteht.

Warum ist Quishing besonders gefährlich?  

Quishing ist besonders tricky. Dafür gibt es mehrere Gründe: 

  • Einfache Erstellung: QR-Codes lassen sich leicht generieren und nutzen. Für Angreifer ist es ein Leichtes, schädliche Websites oder Dateien hinter einem seriös aussehenden und harmlos wirkenden QR-Code zu verbergen. 
  • Wenig Bekanntheit: Während Phishing den meisten bereits ein Begriff ist, ist Quishing – besonders in Unternehmen – (noch) weitgehend unbekannt. Das erhöht die Wahrscheinlichkeit, dass Mitarbeiter auf diese Betrugsmasche hereinfallen. 
  • Schwer zu erkennen: Automatisierte Sicherheitssysteme haben es schwerer, bösartige QR-Codes zu erkennen. Da die schädlichen Links nicht direkt in der E-Mail sichtbar sind, sondern sich hinter einem in der E-Mail eingebetteten QR-Code „verstecken“, sind herkömmliche URL-Scan-Technologien oft wirkungslos. 

Wie können sich Unternehmen schützen? 

Um sich vor Quishing zu schützen, sind sowohl technische als auch menschliche Maßnahmen erforderlich.

1. Technische Schutzmaßnahmen

Auf technischer Ebene sollte eine Reihe von Sicherheitslösungen eingeführt werden. Dazu gehört bspw. die Einrichtung einer Multi-Faktor-Authentifizierung auf den Geräten der Mitarbeiter: Dies erschwert es Cyberkriminellen, auf persönliche und geschäftliche Konten zuzugreifen und Daten zu stehlen. 

Auf der menschlichen Ebene sollten Sie Ihre Mitarbeiter für die Gefahren sensibilisieren, die von QR-Codes ausgehen können. Dabei lohnt es sich zu betonen, dass QR-Codes ganz allgemein kein Garant für Legitimität sind. 

2. Mitarbeitersensibilisierung

Schulen Sie Ihre Mitarbeiter, um das Bewusstsein für die Risiken von QR-Codes zu schärfen. Betonen Sie, dass QR-Codes – ähnlich wie Links in E-Mails – kein Zeichen von Legitimität sind. Fördern Sie ein gesundes Misstrauen gegenüber unbekannten Quellen und verdächtigen Anfragen. 

Da Quishing im Wesentlichen eine Variante des Phishings ist, gelten auch hier die gleichen Vorsichtsmaßnahmen: 

  • Gesundes Misstrauen: Vertrauen Sie nicht blind auf QR-Codes, vor allem, wenn sie von unbekannten Absendern stammen. 
  • Absender überprüfen: Achten Sie auf die Absenderzeile und kontrollieren Sie fehlende Details oder verdächtige Abweichungen. 
  • Keine Anhänge oder Links von unbekannten Absendern öffnen: Seien Sie vorsichtig bei Nachrichten, die unerwartete Anhänge oder Aufforderungen enthalten. 

Unterstützung durch SoftEd: Machen Sie Ihre Mitarbeiter zu Sicherheitshelden!

Mit dem SoftEd Security Awareness Programm machen Sie Ihre Mitarbeiter fit im sicheren Umgang mit sensiblen Daten und potenziellen Bedrohungen.  Profitieren Sie von: 

  • Schnellen Ergebnissen 
  • Praxisnahen und interaktiven Inhalten 
  • Nachweislich erfolgreichen Methoden 

Jetzt informieren & Beratungsgespräch vereinbaren

Lesen Sie dazu auch:

Grafik in Blautönen mit dem Text "CU15", daneben ein kleines Exchange Server Logo.
Exchange Server Zukunft: Ein Blick auf die Roadmap
Scrum-it-Titel
Scrum it – So geht der Einstieg ins agile Arbeiten. Los geht’s!

Cookie-Einstellungen

Wir nutzen Cookies, um Ihr Nutzererlebnis bei SoftEd Systems zu verbessern. Manche Cookies sind notwendig, damit unsere Website funktioniert. Mit anderen Cookies können wir die Zugriffe auf die Webseite analysieren.

Mit einem Klick auf "Zustimmen" akzeptieren sie diese Verarbeitung und auch die Weitergabe Ihrer Daten an Drittanbieter. Die Daten werden für Analysen genutzt. Weitere Informationen, auch zur Datenverarbeitung durch Drittanbieter, finden Sie in unseren Datenschutzhinweisen. Sie können die Verwendung von Cookies ablehnen.

Zustimmen