Zweifellos sind QR-Codes ein praktisches Hilfsmittel, die aus unserem täglichen Leben gar nicht mehr wegzudenken sind. Aber wo Vorteile sind, da lauern in der IT-Welt auch oftmals Gefahren für die Datensicherheit. Der Begriff, von dem in diesem Zusammenhang häufig die Rede ist, lautet „Quishing“. Wir haben Carsten Andrä, Geschäftsführender Gesellschafter der C.A.T.S.-Soft GmbH gefragt, was darunter zu verstehen ist.
Der Begriff „Quishing“ setzt sich zusammen aus den Anfangsbuchstaben des Wortes für QR-Codes und dem Wort „Phishing“, wobei es um eine verfeinerte Methode des Erschleichens von Zugangsdaten über gefälschte Websites bzw. Eingabemasken geht. Während beim klassischen „Phishing“ der Anwender meist über Emails oder Direktnachrichten, zum Beispiel in Whatsapp, auf falsche Webseiten geleitet und zur Eingabe von persönlichen Daten gelockt wird, erfolgt dies beim „Quishing“ über einen manipulierten QR-Code. Da der Link bei einem QR-Code nicht direkt erkennbar ist, bietet diese Art des Phishings zusätzlich für den Cyberkriminellen den Vorteil, dass er die menschliche Neugier ausnutzen kann.
Weil QR-Codes heute in allen Lebenslagen verbreitet sind, um maximalen Komfort für den Anwender bei der Eingabe von Links oder dem Aufruf einer bestimmten Webseite zu erreichen, ist es für Cyberkriminelle relativ einfach diese Phishing-Methode anzuwenden. Die Verwendung von QR-Codes reicht von der Verbindung von Smartphones, dem Teilen von WLAN-Zugangsdaten und Kontaktdaten von einem Smartphone zum anderen, bis zu Plakaten mit QR-Codes in der Fußgängerzone an Geschäften, an Ladesäulen fürs Elektroauto oder Parkautomaten. Alle diese Anwendungsbereiche bieten die Möglichkeit einen manipulierten QR-Code zu verstecken.
In Verbindung mit Social Engineering-Maßnahmen ist eine weitere Variante des Quishing möglich: So könnte der Angreifer dem Anwender einen Brief, zum Beispiel einer Bank oder einer Versicherung zukommen lassen, der einen manipulierten Barcode enthält. In der Vergangenheit wurden bereits Fälle bekannt, in denen angebliche Strafzettel genutzt wurden, um den Anwender per QR-Code auf eine gefälschte Webseite und zur Eingabe persönlicher Daten zu bewegen.
Die besondere Gefahr beim „Quishing“ ist, dass hierbei die typischen, technischen Sicherheitsmaßnahmen gegen diese Art des Cyberbetrugs umgangen werden können. Übliche Spamfilter und Virenscanner, die EMail-Postfächer absichern, können im Fall des „Quishing“ erst reagieren, wenn der Anwender den QR-Code gescannt hat, um den schädlichen Link oder Inhalt zu erkennen. Schließlich ist ein QR-Code an sich für die meisten Virenscanner erst einmal ein harmloses Bild.
Auch der Anwender sieht den Link, der sich im QR-Code befindet, erst, wenn der Code gescannt wurde. Somit ist die wichtigste Abwehrmechanismus die Vorsicht des Anwenders selbst. Es sollte also immer an erster Stelle stehen, zu überlegen, ob der Zweck des QR-Codes Sinn macht. Warnsignale, die das Ganze unplausibel erscheinen lassen, wie beispielsweise, dass der QR-Code am Parkscheinautomaten nachträglich aufgeklebt wurde, sollten die Alarmglocken läuten lassen!
Die folgenden Tipps sollten zur Abwehr von „Quishing“ beherzigt werden:
Tipp 1: Überprüfen Sie, wer der Urheber des QR-Codes ist! Scannen Sie keine QR-Codes fremder Quellen. Beachten Sie, immer wenn ein Angebot oder ein Rabatt zu gut klingt, ist das ein Warnsignal! Haben Sie den QR-Code von einer offiziellen Quelle oder einer Ihnen bekannten Person erhalten, fragen Sie vor dem Scannen kurz nach bzw. überprüfen Sie über die offizielle Website des Absenders, ob das QR-Verfahren wirklich in dem Zusammenhang üblich ist.
Tipp 2: Nutzen Sie nur vertrauenswürdige QR-Code-Scanner! Die meisten Smartphones sowohl unter Android als auch iOS verfügen bereits über integrierte Scanner in der Kamera. Wenn Sie eine Drittanbieter-App herunterladen, überprüfen Sie die Vertrauenswürdigkeit des Herstellers und des Downloads. Das gilt insbesondere dann, wenn der Anbieter des QR-Codes zum Download einer bestimmten Scanner-App auffordert.
Tipp 3: Überprüfen Sie die URL des Ziels! In aller Regel sollte die Scanner-App des Smartphones den Link zunächst anzeigen und fragen, ob die Webseite geöffnet werden soll. Prüfen Sie den Link genau bevor Sie ihn anklicken. Im Zweifel können Sie so verhindern, dass direkt nach dem Scannen automatisch Schadsoftware auf Ihr Gerät heruntergeladen wird.
Tipp 4: Geben Sie nach dem Scannen eines QR-Codes niemals unbedacht Daten ein! Werden Sie auf eine Seite weitergeleitet, die Sie zur Eingabe persönlicher Daten auffordert, werfen Sie zunächst einen genauen Blick auf die angezeigte Seite, das Logo und die vollständige URL der Website. Ist alles plausibel und passt zusammen? Wenn möglich, geben Sie die Original-URL von Hand in den Browser ein, anstatt sensible Daten in eine Seite einzugeben, die über einen Link oder QR-Code aufgerufen wurde.
Tipp 5: Aktivieren Sie Zwei-Faktor-Authentifizierung für Ihre Onlinekonten! Dieser zusätzliche Schutzwall funktioniert genauso wie beim traditionellen Phishing. Sollten Ihre Zugangsdaten, dadurch dass Sie diese in eine manipulierte Webseite eingegeben haben, in die Hände von Cyberkriminellen geraten, können diese dennoch nicht auf Ihre Konten zugreifen, solange Sie nicht den zweiten Authentifizierungsschritt (SMS, Pushmail, Authentizierungscode) bestätigen. Das bedeutet auch, dass Sie niemals Benachrichtigungen bestätigen sollten, wenn Sie nicht selbst versucht haben, auf Ihr Konto zuzugreifen! Insbesondere, wenn viele Benachrichtigungen in kurzer Zeit ankommen, ist das meist ein klares Zeichen dafür, dass Hacker an Ihre Zugangsdaten gelangt sind und versuchen, auf Ihre Konten zuzugreifen.
Tipp 6: Bleiben Sie immer auf dem Laufenden zu aktuellen Cybersicherheitsbedrohungen! Um Cyberkriminellen stets einen Schritt voraus zu sein, ist es insbesondere für Unternehmer wichtig, sich über aktuelle Betrugsmaschen zu informieren und auf dem Laufenden zu bleiben, wie diese zu erkennen sind und zu wissen, wie im Falle eines Angriffs richtig zu handeln ist. Einen ersten Schritte haben Sie bereits gemacht, indem Sie diesen Beitrag bis hier her gelesen haben. ;-)
Auch, wenn es sich bei „Quishing“ um einen fortgeschrittenen und effektiven Angriffsweg von Cyberkriminellen handelt, so zeigt sich doch, dass die gleichen Maßnahmen und vor allem Vorsicht und Nachdenken immer wieder Schutz bieten. Man sollte aber trotz aller Vorsicht nicht die Vorteile vergessen, die durch effektive Wege der Digitalisierung, wie QR-Codes entstehen.
Lesen Sie auch den Artikel: Wofür werden QR-Codes genutzt?