Quishing ist keine neue, jedoch eine noch recht unbekannte Form des Phishings, bei der QR-Codes eine gro\u00dfe Rolle spielen. Im heutigen Beitrag erfahren Sie, was Quishing konkret bedeutet, wie sich diese Gefahr in Ihrer Organisation auswirken kann und wie Sie sich vor Quishing sch\u00fctzen.<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
Phishing-Kampagnen stehen hoch im Kurs bei Cyberkriminellen \u2013 sie geh\u00f6ren zu den beliebtesten Angriffsmethoden. Kein Wunder, denn diese Phishing-Kampagnen sind lohnenswert: Mit gut gef\u00e4lschten und immer professioneller werdenden E-Mails im Namen von Banken oder Unternehmen versteckt sich entweder Malware im Anhang oder hinter eingebaute Links oder Cyberkriminelle versuchen, so an pers\u00f6nliche Daten ihrer Opfer zu gelangen.<\/p>\n
Nutzende sind aufgrund heutiger Spam-Filter und Virenscanner eigentlich ganz gut gesch\u00fctzt; die Technik sorgt daf\u00fcr, dass viele verseuchte Phishing-E-Mails schon im Vorfeld aussortiert werden. Je professioneller jedoch die F\u00e4lschungen der Cyberkriminellen, umso schwieriger f\u00fcr Menschen, Phishing-E-Mails von echten zu unterscheiden. Und um die Sache noch etwas komplexer werden zu lassen, suchen sich Cyberkriminelle immer neue Methoden, um Sicherheitsvorkehrungen umgehen zu k\u00f6nnen. Eine davon ist das Quishing \u2013 das Phishing mit QR-Codes.<\/p>\n
Sicherheitsl\u00f6sungen scannen E-Mails f\u00fcr gew\u00f6hnlich auf Anh\u00e4nge und URLs. In Phishing-Mails mit QR-Codes, also dem Quishing, umgehen Cyberkriminelle diese Kontrollen jedoch \u2013 Nachrichten dieser Art landen quasi unter dem Sicherheitsradar direkt im Opfer-Postfach. QR-Codes funktionieren \u00e4hnlich den Strichcodes, die Sie von Produkten kennen \u2013 sie arbeiten visuell. Genau das wird von Sicherheitsprogrammen nicht bemerkt, da diese den Text bzw. Code einer E-Mail pr\u00fcfen, der jedoch unverd\u00e4chtig erscheint.<\/p>\n
In den Mails wird \u2013 wie beim Phishing \u00fcblich \u2013 behauptet, es l\u00e4ge irgendein Sicherheitsproblem vor und Nutzende m\u00fcssten nun aktiv werden. Alternativ behaupten die Betr\u00fcgenden, dass ihre Opfer ein Dokument br\u00e4uchten, welches hinter dem QR-Code versteckt sei. So oder so: Nutzende werden angehalten, einen QR-Code mit dem Smartphone zu scannen.<\/p>\n
Folgen Nutzende nun dieser Aufforderung, werden sie mit dem Smartphone auf gef\u00e4lschte Websites weitergeleitet. Hier k\u00f6nnen unterschiedliche Dinge passieren: Entweder laden Nutzende dann Dokumente herunter, die mit Malware verseucht sind, oder sie geben Login-Daten ein, die direkt an die Betr\u00fcgenden weitergeleitet werden.<\/p>\n
Schon f\u00fcr Privatnutzende ist dieses Szenario unsch\u00f6n. Ist Quishing in Organisationen erfolgreich, wird der Betrug noch dramatischer: Sind die QR-Code-scannenden Smartphones mit dem mobilen Internet verbunden, verlassen Nutzende die abgesicherte Infrastruktur der Organisation, sodass die Sicherheitsl\u00f6sungen des Firmennetzes nicht l\u00e4nger greifen k\u00f6nnen. Die URL, die hinter dem QR-Code steckt, l\u00e4sst sich mit dem Smartphone in aller Regel nicht auf Auff\u00e4lligkeiten pr\u00fcfen, da diese auf dem Smartphone nicht vollst\u00e4ndig angezeigt wird.<\/p>\n
Aktuell versuchen Cyberkriminelle, Nutzerdaten f\u00fcr den Cloud-Service Microsoft 365 zu erbeuten \u2013 offenbar eine Weiterentwicklung einer weniger gut funktionierenden Taktik: Urspr\u00fcnglich wurden E-Mails mit einer URL versandt, die zu einer angeblichen Voicemail f\u00fchren sollte. Um diese anzuh\u00f6ren, war es notwendig, die Login-Daten einzugeben. G\u00e4ngige Antivirenprogramme erkannten die Masche jedoch ziemlich schnell und blockten diese E-Mails.<\/p>\n
Der einstige Link wurde von den Cyberkriminellen durch einen QR-Code ersetzt \u2013 und die betr\u00fcgerische Absicht dahinter wird, wie oben erw\u00e4hnt, von g\u00e4ngigen Sicherheitsl\u00f6sungen nicht erkannt, weil die vermeintlich harmlose Bilddatei nicht als gef\u00e4hrlich eingestuft wird. Eine erh\u00f6hte Glaubw\u00fcrdigkeit erh\u00e4lt diese Quishing-Kampagne dadurch, dass die E-Mails von E-Mail-Accounts versendet werden, die bereits mit Schadsoftware infiziert wurden. Reale Mitarbeitende von realen Unternehmen scheinen also dahinterzustehen. Wenngleich noch nicht gekl\u00e4rt ist, wie die Kriminellen sich Zugang zu diesen E-Mail-Accounts verschafft haben, erh\u00f6ht diese Tatsache leider die Glaubw\u00fcrdigkeit der Quishing-Mails.<\/p>\n
Folgt ein Opfer dem QR-Code, wird es auf eine t\u00e4uschend echt aussehende F\u00e4lschung der Microsoft 365-Login-Seite geleitet. Hier sollen Opfer ihre Nutzerdaten eingeben, um die Voicemail, die in der E-Mail angesprochen wurde, abh\u00f6ren zu k\u00f6nnen. Folgen Opfer dieser Anweisung, fallen die Daten den Kriminellen in die H\u00e4nde. Diese eigentlichen Datendiebe in die Finger zu kriegen, ist f\u00fcr Ermittelnde oft auch deshalb schwer, weil Cyberkriminelle Daten gerne an andere Kriminelle weiterverkaufen.<\/p>\n
Sie sehen: Auch wenn der Umweg \u00fcber QR-Codes zun\u00e4chst unn\u00f6tig aufwendig erscheint, bietet dieses Vorgehen f\u00fcr Kriminelle durchaus Vorteile. Da Sicherheitssoftware QR-Codes als harmlose Bilddateien wahrnimmt, ist die Erfolgsquote f\u00fcr die Kriminellen h\u00f6her. QR-Codes werden auch hierzulande immer mehr fester Bestandteil des Alltags, weshalb auch die Quishing-Gefahr ernstgenommen werden sollte: Sp\u00e4testens seit der Corona-Krise dienen QR-Codes der Registrierung, dem Nachweis von Zertifikaten oder auch dem Abrufen von Angeboten oder Speisekarten in Restaurants.<\/p>\n
Cyberkriminelle wissen nat\u00fcrlich auch von dieser Entwicklung, wie auch Anna Chung als leitende Cybersecurity-Forscherin bei Unit 42 von Palo Alto Networks gegen\u00fcber Tech Monitor erkl\u00e4rte<\/a>: \u201eW\u00e4hrend der Pandemie hat Unit 42 beobachtet, wie Cyberkriminelle in Darknet-Foren dar\u00fcber diskutierten, wie man QR-Codes missbrauchen und mobile Ger\u00e4te angreifen kann. Wir haben auch Open Source-Tools und Video-Tutorials gefunden, die Schulungen zur Durchf\u00fchrung von Angriffen mithilfe von QR-Codes anbieten.\u201c<\/p>\n Wie also k\u00f6nnen Sie sich und Ihre Organisation vor Quishing sch\u00fctzen? Zun\u00e4chst gilt es, sorgf\u00e4ltig zu pr\u00fcfen, ob es sich um eine F\u00e4lschung handeln k\u00f6nnte. Kontaktieren Sie im Zweifelsfall immer den Absendenden \u00fcber offizielle Kan\u00e4le, um sich zu vergewissern, dass die Nachricht tats\u00e4chlich von diesem Absender stammt. Kommen Ihnen Nachrichten verd\u00e4chtig vor, vermeiden Sie das \u00d6ffnen von Anh\u00e4ngen oder Links sowie das Scannen von QR-Codes. Multi-Faktor-Authentifizierung<\/a> ist ein weiterer wirksamer Schutz vor allen Formen des Phishings: Selbst wenn Kriminelle Ihre Zugangsdaten in Erfahrung bringen k\u00f6nnten, fehlt ihnen der zweite (oder dritte) Faktor zum Einloggen.<\/p>\n Die Sicherheitsrichtlinie Ihrer Organisation sollte Smartphones miteinschlie\u00dfen. Oftmals existieren f\u00fcr Rechner und Notebooks recht strenge Sicherheitsvorkehrungen, aber kaum f\u00fcr Firmentelefone \u2013 hier gilt es, umzudenken. Wie Chung von Unit 42 erkl\u00e4rte, lassen sich Cyberkriminelle schulen \u2013 und das ist ein weiterer Tipp zu Ihrem Schutz vor Quishing: Lassen Sie die Mitarbeitenden Ihrer Organisation sensibilisieren<\/a>. Denn nur, wenn Gefahren als solche auch erkannt werden, k\u00f6nnen Ihre Mitarbeitenden entsprechend handeln.<\/p>\n