QR-Code-Phishing: Die aktuelle Gefahr für Unternehmen und Privatpersonen

Spätestens seit der Corona-Pandemie sind QR-Codes inmitten der Gesellschaft nahezu überall zu finden. Wir scannen sie als Ersatz für Speisekarten im Restaurant, vernetzen uns auf Events oder rufen schnell mal eine Internetseite auf. Eine derzeit häufig genutzte Masche von Cyberkriminellen macht sich das teils mit gravierenden Folgen zu Nutze. 

Hacker setzen vermehrt auf QR-Code-Phishing („Quishing“). Zum Beispiel in E-Mails werden QR-Codes als Bilder oder Anhang angefügt und die Leser dazu aufgefordert, diese abzuscannen. Die angeblichen Gründe das zu tun sind vielfältig: Eine gewünschte Google-Bewertung, ein Passwort-Reset oder die Aufforderung zu einer Multi-Faktor-Authentifizierung, harmlose Themen eben. Das Problem: QR-Codes sind von Virenscannern nicht so einfach herauszufiltern und stellen daher eine große Sicherheitslücke dar.

„Quishing“: Perfide Cybercrime-Masche mit Erfolg

Ein QR-Code kann leicht manipuliert werden, um Opfer auf schädliche Websites umzuleiten oder Malware herunterzuladen. Ein klassisches Szenario konnte folglich aussehen: Arbeitnehmer:innen wollen ihren Pflichten nachkommen und folgen daher den Anweisungen auf der sich öffnenden Internetseite durch den QR-Code. Doch dahinter stecken eigentlich gefakte Seiten von Kriminellen. Das Ziel der Masche: Datenklau. Wer das zu spät erkennt, gibt vielleicht arglos und unwissentlich sensibelste Unternehmensdaten preis, die die Kriminellen schließlich als Druckmittel nutzen können. Und das ist kein Einzelfall. 

Laut dem Resultat einer großen Simulation der Risiko-Management Plattform „Hoxhunt“ hätten bei einem etwaigen QR-Code-Phishing-Test lediglich 36 Prozent der Probanden den Angriff als solchen erkannt. Bei der Simulation nahmen nach Angaben der Plattform 600.000 Menschen aus 38 Unternehmen und 125 Ländern teil.

„Ich will doch nur helfen!“ – Soziale Eigenschaften als Angriffsmittel  

Doch was macht QR-Codes zur perfekten FalleCyberkriminelle setzen deshalb auf QR-Codes, weil die weiß-schwarzen Quadrate weniger bedrohend wirken mögen als ein Link in einer E-Mail. Denn mittlerweile sind viele Mitarbeitende geschult und klicken nicht einfach auf irgendwelche dubiosen URLs. 

Der QR-Code stand bislang außerdem weniger unter dem Verdacht, für Phishing genutzt zu werden und er kann schnell und einfach mit dem Smartphone gescannt werden. Da viele Personen ihr privates Handy auf der Arbeit nutzen oder zumindest neben sich liegen haben, kommen die Angreifer zusätzlich gegebenenfalls auf ungeschütztere Devices ran als jene im Firmennetzwerk.

Die Angreifenden machen sich hier zusätzlich das Prinzip „Call to Action“ zu Nutze. Dadurch wird der Leser oder die Leserin von der passiven in die aktive Rolle gehoben. „Es liegt in der menschlichen Natur, dass wir gerne darauf eingehen, wenn wir aufgefordert werden etwas zu tun. Da spielen Faktoren wie Neugier, Hilfsbereitschaft oder Zuverlässigkeit eine Rolle“, erklärt David Scribane, Security-Awareness Experte der teccle group zu der aktuellen Masche. Er bietet mit dem SECUTAIN-Team zum Beispiel Phishing-Simulationen und Awareness-Trainings an. 

Was tun? Praktische Tipps für Unternehmen und Privatpersonen:

  • IT-Security im Unternehmen auf- und nachrüsten (Sprecht uns gerne an)
  • Gezielte Tests und Schulungen für Mitarbeitende (Sprecht uns gerne an)
  • Einbindung privater Devices in die Sicherheitsregelungen des Unternehmens
  • Gesundes Misstrauen und Konsolidierung der IT-Abteilung bei suspekt wirkenden E-Mails 
  • Im Zweifelsfall immer lieber nicht abscannen 
  • Privat nicht jeden QR-Code abscannen, der nicht zwingend notwendig ist
  • Auch mit privaten Daten sensibel umgehen 

Unsicher, wie Ihr Euer Unternehmen und Mitarbeitende vor derartigen Cyber-Fallen schützen könnt? Nehmt jetzt Kontakt zu uns auf über unser Kontaktformular und lasst Euch von Experten wie David dazu gerne persönlich beraten. 


 

teccle News

Mit den teccle News seid Ihr immer einen Schritt voraus und auf dem neuesten Stand rund um die spannendsten Innovationen. Wir verpacken für Euch die aktuellsten IT-Themen aus der Branche, exklusive Events, Tipps & Tricks und vieles mehr und stellen sie Euch kostenlos gesammelt bereit.

Nichts mehr verpassen: jetzt die teccle news abonnieren.