X

META10 | News

 

Secure Cloud E-News

Möchten Sie auf dem Laufenden bleiben? Melden Sie sich hier für unsere E-News an.

 

20Sep

Cyberkriminalität: Nach dem Phishing kommt das Quishing

it-sicherheit, bacs | 0 Comments | | Return| 20.09.2024|

Das Bundesamt für Cyberkriminalität BACS warnt: Mit dem Phishing fischen die Cyberkriminellen mittels E-Mails und anzuklickenden Links mehr oder weniger raffiniert nach sensiblen Daten. Das gehört inzwischen zum Alltag aller E-Mail-Nutzerinnen und E-Mail-Nutzer. Jetzt kommt zusätzlich das Quishing. Der Grund: Die im modernen Leben allgegenwärtigen QR-Codes können gekonnt gefälscht werden. Wörtlich schreibt das BACS: «Quishing-Angriffe, also QR-Code-Betrügereien, sind auf dem Vormarsch. Quishing ist eine Mischung aus ‘QR-Code’ und ‘Phishing’, bei der böswillige Akteure, auch oft per E-Mail, nach privaten und persönlichen Daten ‘fischen’.» Lesen Sie, wie das geht.

 

QR-Codes sind heute überall zu finden

QR-Codes sind heute überall zu finden: Auf Rechnungen, zum Bezahlen mit Twint, in E-Mails und klassischen Briefen als Schlüssel für weitere Informationen, auf Werbebotschaften aller Art, bei Parkuhren oder in Restaurants zum Aufruf der Speisekarte. Genau diese Allgegenwärtigkeit und Alltäglichkeit der QR-Codes nutzen Cyberkriminelle aus.

 

QR-Codes können leicht gefälscht werden

QR-Codes führen oft zu Webseiten: Wenn man den QR-Code scannt, wird eine Webadresse angezeigt. Die dazugehörige Webseite kann betrügerisch sein, was nicht auf den ersten Blick ersichtlich ist. Das hilft den Cyberkriminellen. Denn einen QR-Code zu erstellen, ist nicht kompliziert und rasch gemacht. Die Betrüger können dann einen QR-Code, der auf eine gefälschte Webseite führt, beliebig einsetzen: beispielsweise in einer gefälschten E-Mail eines Hotels, in einer Fake-Online-Werbung auf sozialen Medien oder in Spam-Mails aller Art.

 

Der echte QR-Code wird überklebt

Cyberkriminelle erdreisten sich auch, QR-Codes physisch zu fälschen. Mit den gefälschten QR-Codes werden dann beispielsweise Parkuhren oder Plakate einfach überklebt. Dem Bundesamt für Cyberkriminalität BACS wurden schon verschiedene Fälle gemeldet, bei denen die Bezahlung von Parkgebühren bei Betrügern gelandet ist. Auch überklebte QR-Codes in Restaurants wurden bereits gemeldet. In diesem Fall ging der Link auf eine angebliche WLAN-Anmeldung. Daraufhin erschien eine Webseite auf welcher man seine Daten angeben musste. Mit der Übermittlung dieser Daten würde dann statt eines WLAN-Zugangs ein ungewolltes Abonnement abgeschlossen.

 

Was die Cyberkriminellen mit gefälschten QR-Codes stets anstreben

Das Ziel der QR-Code-Betrüger ist immer dasselbe: Potenzielle Opfer sollen dazu gebracht werden, etwas herunterzuladen, das die Sicherheit ihrer Konten oder Geräte gefährdet. Oder sie sollen dazu gebracht werden, Anmeldedaten einzugeben, die dann direkt an die Hacker weitergeleitet werden. Dies höchstwahrscheinlich über eine gefälschte Website, die so eingerichtet ist, dass sie echt und vertrauenswürdig aussieht.

 

Sechs Empfehlungen des Bundesamt für Cyberkriminalität BACS

  1. Man verwende zum Scannen von QR-Codes eine zuverlässige und als sicher anerkannte App: Der Vorteil dabei ist, dass das Gerät einen auffordert, die Aktion zu bestätigen, bevor der im QR-Code enthaltene Code ausgeführt wird. Sowohl bei Apple als auch bei Android kann auch die Kamera QR-Codes erkennen.

  2. Angaben überprüfen: Nach dem Scannen und vor dem Ausführen wird bei den meisten Scannern eingeblendet, was für eine Aktion ausgeführt wird, respektive auf welche Seite verlinkt wird. Man überprüfe diese Angaben.

  3. Man gebe niemals Anmeldeinformationen auf einer Website ein, auf die man über einen QR-Code zugegriffen hat.

  4. Bevor man einen physischen, öffentlichen QR-Code scannt, betrachte oder berühre man diesen QR-Code: Damit lässt sich sehen, ob es sich nicht um einen Aufkleber handelt, der auf dem Original angebracht ist.

  5. Wenn man einen QR-Code scannt, der etwas Bösartiges enthält, benachrichtige man sofort den Besitzer des Ortes, wo man den gefälschten QR-Code entdeckt hat: Beispielsweise die Zeitschrift, das Plakat, den Parkplatzbetreiber oder die Website.

  6. Sich nicht unter Druck setzen lassen: Betrüger versuchen in der Regel, ein Gefühl der Dringlichkeit zu suggerieren: «Scannen Sie diesen QR-Code, um Ihre Identität zu überprüfen, um die Löschung Ihres Kontos zu verhindern oder um ein zeitlich begrenztes Angebot zu nutzen». Man lasse sich nie unter Druck setzen. Man nehme sich Zeit, die Geschichte zu überprüfen.

 

Quelle: «Woche 31: Auch bei QR-Codes ist Vorsicht geboten», Bundesamt für Cyberkriminalität BACS

Related