Dass Phishing eine Gefahr im Internet darstellt, ist allgemein bekannt. Mit der Entwicklung neuer technischer Möglichkeiten haben sich die Methoden des Phishings über die Jahre verändert. Relativ pauschal lässt sich sagen, dass vorhandene technische Optionen immer auch für Betrugsversuche verwendet wurden und werden. Mittlerweile betrifft das auch QR-Codes, die eine gewisse Verbreitung im Alltag erfahren haben. Mit ihnen ist die Betrugsmasche des Quishings aufgekommen. Doch was genau ist Quishing, wie funktioniert es und wie können wir uns davor schützen?
Vom Phishing zum Quishing
Quishing ist die Weiterentwicklung des Phisings, die nicht mehr mit einfachen Links, sondern mit QR-Codes arbeitet. Phishing ist der Versuch, sich über Mails, gefälschte Websites oder Kurznachrichten als andere, vertrauenswürdige Person auszugeben, um so Zugang zu eigentlich geschützten Daten zu erhalten. Meint in der Praxis: Mails, die sich als Bankmails ausgeben, zu einer gefälschten Bankseite leiten und dort zur Eingabe von Online-Banking-Daten auffordern. Oder der Link führt zu einer Seite, die einen automatischen Malwaredownload startet. Wer darauf hereinfällt, verliert in der Folge in der Regel eine Menge Geld. Mitunter wird im Rahmen des Phishings auch mit weiteren Methoden gearbeitet, um Betroffene unter Druck zu setzen und zur Herausgebe von Passwörtern und anderen Daten zu nötigen.
Beim Quishing wird dabei – wie bereits erwähnt – mit QR-Codes gearbeitet. Das bedeutet in der Praxis, dass sich in den vorgeblichen Bankmails keine Links zu Fake-Websites mehr befinden, sondern QR-Codes, die zu diesen führen, sobald sie gescannt werden.
Sicherheitslücken als Einfallstor
Quishing ist dabei für Kriminelle attraktiver als einfaches Phishing. Zurückzuführen ist das auf eine Sicherheitslücke: Virenscanner erkennen QR-Codes nur als Bilder, sie prüfen nicht den damit verschlüsselten Link. Wer mit QR-Codes Menschen auf Schadwebsites führen möchte, hat daher – zumindest gegenüber Virenscannern – leichtes Spiel. Für dich bedeutet das, dass du dich niemals darauf verlassen solltest, dass ein QR-Code in einer Mail auf eine harmlose Website führt, wenn dein Virenscanner sie als nicht bedrohlich klassifiziert hat.
Darüber hinaus erwecken QR-Codes in Mails heute kaum noch Verdacht. Wir sind es gewohnt, in vielen Lebensbereichen Plattformwechsel zu vollziehen. So ist es etwa im Online-Banking mittlerweile üblich, Zahlungen, die am PC vorgenommen werden, am Handy zu legitimieren. Entsprechend schöpfen wir nicht unbedingt Verdacht, wenn wir aufgefordert werden, das Handy zu zücken, um einen QR-Code zu scannen und eine Aktion auszuführen.
Quishing ist darüber hinaus – auch das kann von Seiten der Kriminellen als Fortschritt interpretiert werden – im halbanalogen Raum stattfinden. Mit QR-Codes versehene Briefe sind heute keine Ausnahme mehr. Kriminelle können sich das zunutze machen, täuschend echt wirkende Briefe aufsetzen und mit einem QR-Code ausstatten, der wiederum zu einer Schadwebsite führt.
So erkennst du Quishing-Versuche
Nachdem nun geklärt ist, was Quishing ist, stellt sich eine weitere Frage: Wie kannst du Quishing-Versuche erkennen und dich vor ihnen schützen? Einige einfache Tipps helfen.
- Prüfe die Absendermail von Mails, bevor du QR-Codes scannst, die sich in ihr befinden. Meist lässt sich hier leicht erkennen, dass es sich um eine Fälschung handelt: Offizielle Mailadressen von bestehenden Unternehmen können nicht verwendet werden. Stattdessen finden sich in der absendenden Mail-Adresse dubiose Namen, Ziffern-Buchstaben-Kombinationen oder aber Namen, die den echten ähneln, etwa service@pstbnk.de o.ä.
- Solltest du Zweifel haben, kannst du dich an das Unternehmen oder die Organisation, von der die Mail stammen soll, wenden. Verwende dazu offizielle Kontaktwege, die du über die offizielle Website ausfindig machen kannst. Mit einer Mail oder einem Anruf lässt sich meist schnell klären, ob die ursprüngliche Kontaktaufnahme echt war.
- Nutze eine Zwei-Faktor-Authentifizierung für alle wichtigen Online-Dienste, die du nutzt. Selbst, wenn deine Kontaktdaten über Phishing oder Quishing aus deiner Hand geraten sollten, bleiben deine Konten so geschützt.