Eine neue Bedrohung macht die Runde: Quishing. Betrüger nutzen QR-Codes, um über Offline-Kanäle an sensible Daten zu gelangen. Erfahren Sie, wie diese Masche funktioniert und wie Sie sich effektiv davor schützen können.
Was ist Quishing?
Phishing, wörtlich übersetzt „Passwortfischen“ (password fishing), ist vielen ein Begriff. Quishing hingegen ist eine Weiterentwicklung dieser Technik, bei der QR-Codes als Angriffsmittel eingesetzt werden.
Cyberkriminelle möchten, dass Sie einen QR-Code scannen. Da der Link erst nach dem Scannen sichtbar wird, wird er oft von automatischen Sicherheitsscannern in E-Mails nicht erkannt. Dadurch landen betrügerische Nachrichten häufiger im Posteingang, statt im Spam-Ordner.
Wie bei allen Phishing-Angriffen geht es den Kriminellen primär darum, Passwörter abzugreifen und für kriminelle Zwecke einzusetzen.
Um Sie zu täuschen, nutzen die Absender gefälschte E-Mail-Adressen und leiten Sie auf eine nachgebaute Fake-Website – ähnlich wie bei herkömmlichen Phishing-Attacken, jedoch mit dem Unterschied, dass der QR-Code als „versteckter“ Link fungiert. Vorsicht also, welche Website sich nach einem QR-Scan öffnet.
Eine weitere Masche ist auch oft ein Dokument oder eine Rechnung, die mithilfe des QR-Codes leicht heruntergeladen werden kann. Dahinter verbirgt sich jedoch ein mit Schadsoftware verseuchtes Dokument.
Werden Sie ebenfalls hellhörig, wenn vertrauliche Daten wie Passwörter oder TANs abgefragt werden oder „dringender Handlungsbedarf“ besteht.
Warum ist Quishing besonders gefährlich?
Quishing ist besonders tricky. Dafür gibt es mehrere Gründe:
- Einfache Erstellung: QR-Codes lassen sich leicht generieren und nutzen. Für Angreifer ist es ein Leichtes, schädliche Websites oder Dateien hinter einem seriös aussehenden und harmlos wirkenden QR-Code zu verbergen.
- Wenig Bekanntheit: Während Phishing den meisten bereits ein Begriff ist, ist Quishing – besonders in Unternehmen – (noch) weitgehend unbekannt. Das erhöht die Wahrscheinlichkeit, dass Mitarbeiter auf diese Betrugsmasche hereinfallen.
- Schwer zu erkennen: Automatisierte Sicherheitssysteme haben es schwerer, bösartige QR-Codes zu erkennen. Da die schädlichen Links nicht direkt in der E-Mail sichtbar sind, sondern sich hinter einem in der E-Mail eingebetteten QR-Code „verstecken“, sind herkömmliche URL-Scan-Technologien oft wirkungslos.
Wie können sich Unternehmen schützen?
Um sich vor Quishing zu schützen, sind sowohl technische als auch menschliche Maßnahmen erforderlich.
1. Technische Schutzmaßnahmen:
Auf technischer Ebene sollte eine Reihe von Sicherheitslösungen eingeführt werden. Dazu gehört bspw. die Einrichtung einer Multi-Faktor-Authentifizierung auf den Geräten der Mitarbeiter: Dies erschwert es Cyberkriminellen, auf persönliche und geschäftliche Konten zuzugreifen und Daten zu stehlen.
Auf der menschlichen Ebene sollten Sie Ihre Mitarbeiter für die Gefahren sensibilisieren, die von QR-Codes ausgehen können. Dabei lohnt es sich zu betonen, dass QR-Codes ganz allgemein kein Garant für Legitimität sind.
2. Mitarbeitersensibilisierung:
Schulen Sie Ihre Mitarbeiter, um das Bewusstsein für die Risiken von QR-Codes zu schärfen. Betonen Sie, dass QR-Codes – ähnlich wie Links in E-Mails – kein Zeichen von Legitimität sind. Fördern Sie ein gesundes Misstrauen gegenüber unbekannten Quellen und verdächtigen Anfragen.
Da Quishing im Wesentlichen eine Variante des Phishings ist, gelten auch hier die gleichen Vorsichtsmaßnahmen:
- Gesundes Misstrauen: Vertrauen Sie nicht blind auf QR-Codes, vor allem, wenn sie von unbekannten Absendern stammen.
- Absender überprüfen: Achten Sie auf die Absenderzeile und kontrollieren Sie fehlende Details oder verdächtige Abweichungen.
- Keine Anhänge oder Links von unbekannten Absendern öffnen: Seien Sie vorsichtig bei Nachrichten, die unerwartete Anhänge oder Aufforderungen enthalten.
Unterstützung durch SoftEd: Machen Sie Ihre Mitarbeiter zu Sicherheitshelden!
Mit dem SoftEd Security Awareness Programm machen Sie Ihre Mitarbeiter fit im sicheren Umgang mit sensiblen Daten und potenziellen Bedrohungen. Profitieren Sie von:
- Schnellen Ergebnissen
- Praxisnahen und interaktiven Inhalten
- Nachweislich erfolgreichen Methoden