Quishing auf dem Vormarsch: So verhindern Sie QR-Code-Phishing

Getty Images/iStockphoto

Laut Bedrohungsforschern nutzen Cyberkriminelle E-Mail-basierte Quishing-Angriffe, um Benutzer anzugreifen. Mindestens eine Quishing-Kampagne scheint groß angelegt, langwierig und dynamisch zu sein, basierend auf der Angriffsfrequenz und den Variationen bei den Ködern und Domänen, die die Nachrichten verwenden.

Beim Quishing, auch QR-Code-Phishing genannt, wird jemand dazu verleitet, einen QR-Code mit einem Mobiltelefon zu scannen. Der QR-Code führt den Benutzer dann zu einer betrügerischen Website, die möglicherweise Malware herunterlädt oder nach vertraulichen Informationen fragt.

Patrick Schläpfer, Malware-Analyst bei HP, sagte, sein Team habe seit Monaten fast täglich E-Mail-basierte Quishing-Aktivitäten beobachtet. Die Forscher haben eine bestimmte QR-Code-Phishing-Kampagne verfolgt, auf die sie erstmals aufmerksam wurden, als sie eine Reihe verdächtiger E-Mails mit ähnlichen Word-Dokumenten im Anhang bemerkten.

Bei näherer Betrachtung stellten sie fest, dass jedes Dokument chinesischen Text und einen QR-Code enthielt. Die Nachricht schien vom chinesischen Finanzministerium zu stammen – obwohl sie tatsächlich von Bedrohungsakteuren stammte – und teilte den Empfängern mit, dass sie Anspruch auf eine neue staatlich finanzierte Subvention hätten. Um ihre Zahlungen zu erhalten, heißt es in dem Dokument, sollten Benutzer mit ihren Mobilgeräten den QR-Code scannen, der sie zu einem Antragsformular weiterleitet, wo sie ihre persönlichen und finanziellen Daten angeben können.

Bei einem anderen, ähnlichen Angriff, den HP aufgedeckt hat, erhielten Benutzer eine E-Mail, die offenbar von einem Paketzustelldienst stammte und in der sie zur Zahlung über einen QR-Code aufforderten.

Laut Schläpfer ist der QR-Code eine Möglichkeit, einen Benutzer dazu zu zwingen, von einem Desktop oder Laptop auf ein mobiles Gerät zu wechseln, das möglicherweise über einen schwächeren Antiphishing-Schutz verfügt. Und während die von den HP-Forschern entdeckte Kampagne darauf abzielte, Finanzinformationen von Einzelpersonen zu erfragen, könnten Bedrohungsakteure solche Quishing-Kampagnen auch nutzen, um mobile Malware zu verbreiten und Anmeldedaten von Unternehmen zu stehlen.

„Es ist sehr wahrscheinlich, dass QR-Phishing in größerem Umfang mit unterschiedlichen Methoden stattfindet“, sagte Schläpfer.

Der E-Mail-Sicherheitsanbieter Abnormal Security hat zuvor eine Quishing-Kampagne identifiziert, die einen QR-Code nutzte, um an E-Mail-Sicherheits-Gateways vorbeizukommen, die üblicherweise Texte nach URLs scannen. Der Angriff schien ein Versuch zu sein, die Microsoft-Anmeldeinformationen der Benutzer zu stehlen, berichtete der Anbieter.

Quishing ist eine Art Phishing-Angriff, bei dem ein Bedrohungsakteur einen QR-Code verwendet, um Benutzer zu manipulieren, typischerweise indem er sie auf eine Website umleitet, die entweder Malware herunterlädt oder ihre vertraulichen Informationen anfordert.

Ein QR-Code oder Quick-Response-Code ist ein quadratischer Barcode, den kompatible Kameras mobiler Geräte lesen können. Wenn ein Benutzer einen QR-Code scannt, öffnet er oft eine Webseite, kann aber auch einen Anruf, eine SMS oder eine digitale Zahlung auslösen.

Anekdotische Hinweise deuten darauf hin, dass Quishing-Angriffe seit Beginn der COVID-19-Pandemie zugenommen haben, als immer mehr legitime Organisationen damit begannen, QR-Codes zu verwenden, um kontaktarme Transaktionen zu ermöglichen. Einige Restaurants verknüpfen beispielsweise QR-Codes mit Online-Menüs, anstatt den Gästen gedruckte Kopien zur Verfügung zu stellen. Digitale Geldbörsen nutzen QR-Codes, um kontaktloses Bezahlen zu ermöglichen. Da sich Benutzer zunehmend daran gewöhnt haben, im täglichen Leben mit QR-Codes zu interagieren, haben sich die Möglichkeiten zum Quiking erhöht.

Nach Angaben des Better Business Bureau (BBB) ​​besteht beispielsweise ein mittlerweile weit verbreiteter Betrug darin, betrügerische QR-Codes auf Parkuhren zu kleben, um Autofahrer dazu zu verleiten, ihre Finanzdaten preiszugeben, wenn sie versuchen, das Parken zu bezahlen. Die BBB hat Verbraucher gewarnt, dass sie in E-Mails, Textnachrichten, auf Beschilderungen, in Direktmailings und sogar persönlich von Kriminellen, die sich als Versorgungsarbeiter oder Regierungsangestellte ausgeben, auf QR-Code-Betrügereien stoßen könnten.

Bisher richteten sich viele Quishing-Angriffe gegen einzelne Verbraucher, aber auch Unternehmen und ihre Mitarbeiter sind angreifbar. Insbesondere E-Mail-basierte QR-Phishing-Kampagnen, wie sie die Forscher von HP und Abnormal Security aufgedeckt haben, könnten Geschäftskonten zum Diebstahl von Anmeldedaten oder zur Verbreitung von Malware ins Visier nehmen.

Wie bei jeder Art von Phishing ist die beste Verteidigung gegen Quishing-Angriffe eine geschulte Benutzerbasis. Unternehmen sollten Schulungen zum Sicherheitsbewusstsein anbieten, die die folgenden Best Practices umfassen:

Unternehmen sollten auch zusätzliche Sicherheitskontrollen in Betracht ziehen, die dabei helfen können, mehrere Arten von Phishing-Angriffen zu bekämpfen und den Schaden zu mindern, wenn einer erfolgreich ist. Dazu gehören die folgenden: