QR-Code-Phishing: Die neue Masche, die Sie nicht ignorieren können

QR-Codes sind allgegenwärtig - von Speisekarten in Restaurants bis hin zu Bürotüren. Aber jetzt sind sie auch eine Waffe in den Händen von Cyberkriminellen.
Sogenannte "Quishing"-Angriffe (QR-Code-Phishing) nehmen rapide zu, und die meisten Mitarbeiter wissen nicht einmal, dass sie existieren. Wenn sich Ihr Sensibilisierungstraining immer noch nur auf Links in E-Mails konzentriert, ist es an der Zeit, Ihr Programm zu aktualisieren.

QR-Code-Phishing

Was ist QR-Code-Phishing?

Beim QR-Code-Phishing werden bösartige Links in QR-Codes eingebettet, die beim Scannen zu gefälschten Websites, zum Diebstahl von Zugangsdaten oder zum Herunterladen von Malware führen. Diese Angriffe sind sehr effektiv, weil sie:

  • Umgehen von E-Mail-Spamfiltern

  • An Orten auftauchen, an denen die Benutzer keine Bedrohungen erwarten

  • Ausnutzung eines falschen Gefühls der physischen Sicherheit (z. B. auf gedruckten Materialien)

Ein einfacher Scan reicht aus. Auf mobilen Geräten, wo die Sichtbarkeit und Vorsicht eingeschränkt sind, sehen die Nutzer oft nicht einmal die vollständige URL.

 

Beispiele aus der Praxis für Quishing in Aktion

Cyberkriminelle werden immer kreativer:

  • Betrug mit Parkuhren: Gefälschte QR-Aufkleber, die auf legitimen Parkuhren angebracht sind, leiten die Opfer zu Phishing-Seiten, auf denen Zahlungsinformationen abgefragt werden.

  • Phishing in Unternehmen: Angreifer fügen QR-Codes in E-Mails oder gedruckten Flyern ein, um die E-Mail-Sicherheitskontrollen zu umgehen.

  • IT-Anmeldedaten-Diebe: Scannbare Codes geben vor, die Benutzer auf Seiten mit "Multi-Faktor-Authentifizierung" umzuleiten, stehlen aber stattdessen Anmeldedaten.

Im Jahr 2024 berichteten mehrere europäische Unternehmen über Betrügereien bei der Personalbeschaffung, bei denen QR-Codes in Stellenanzeigen verwendet wurden. Die Opfer wurden dazu verleitet, persönliche Dokumente hochzuladen.

Warum Quishing so gut funktioniert

Mehrere psychologische und technische Faktoren machen QR-Code-Phishing besonders gefährlich:

  • Nutzer vertrauen physischer Beschilderung mehr als digitalen Botschaften

  • Keine sichtbare Link-Vorschau: Anders als bei E-Mails ist bei QR-Codes die URL nicht sichtbar.

  • Mobile-first Verhalten: Menschen handeln schnell und denken später am Telefon

  • Toter Winkel der Sicherheit: Die meisten Awareness-Schulungen decken die Risiken von QR-Codes nicht ab

Und im Gegensatz zum herkömmlichen Phishing können diese Angriffe auch außerhalb des Netzes und in Offline-Umgebungendurchgeführt werden - auf Plakaten, Visitenkarten, in öffentlichen Verkehrsmitteln usw.

QR-Code-Angriffe

Wie Sie sich gegen QR-Code-Phishing schützen können

Um das Risiko zu verringern, sollten Unternehmen jetzt handeln:

  1. Aktualisierung der Schulungen zur Sensibilisierung für Phishing, um QR-basierte Betrügereien einzubeziehen

  2. Bringen Sie Ihren Mitarbeitern bei, QR-Links vor dem Öffnen in einer Vorschau anzuzeigen (viele Apps ermöglichen dies)

  3. Vom blinden Scannen unbekannter oder inoffizieller QR-Codes abraten

  4. Verwenden Sie sichere QR-Code-Lesegeräte, die Ziele validieren

  5. Simulieren Sie Quishing-Angriffe als Teil Ihrer Phishing-Tests

Tipp: Weisen Sie darauf hin, dass auch ein gedruckter QR-Code ein Phishing-Link sein kann - physisch ist nicht gleich sicher.

Bewusstheit ist Ihre stärkste Verteidigung

Wie jede neue Phishing-Methode nutzt auch Quishing das Vertrauen, die Eile und die Lücken in der Ausbildung aus. Aber sobald Ihre Mitarbeiter die Taktik kennen, ist sie weit weniger effektiv.

Bei der Sicherheit geht es nicht nur um das Blockieren von Links, sondern darum, die Menschen in die Lage zu versetzen, Manipulation in all ihren Formen zu erkennen und sich ihr zu widersetzen.

Wenn Ihr Sensibilisierungsprogramm kein QR-Phishing beinhaltet, ist es an der Zeit, Ihre Strategie zu überprüfen.

 

Quilling-Simulation

  •  

Abschließende Überlegungen

QR-Code-Phishing ist keine futuristische Bedrohung - sie ist bereits da. Die Angreifer entwickeln ihre Taktiken weiter und finden neue Wege, um alltägliche Hilfsmittel auszunutzen, auf die wir uns verlassen, darunter auch den einfachen QR-Code.

Diese Art von Phishing funktioniert genau deshalb, weil sie sich in moderne Arbeitsabläufe einfügt und herkömmliche Sicherheitskontrollen umgeht. Deshalb ist es so wichtig, dass Sie Ihre Mitarbeiter schulen - und nicht nur Ihre Technologie.

Die beste Verteidigung ist eine informierte Belegschaft. Indem Sie Ihr Sensibilisierungstraining auf neue Bedrohungen wie Quishing ausweiten, stellen Sie sicher, dass Ihr Team wachsam bleibt, selbst wenn die Bedrohung in unerwarteter Form auftritt.

Denn bei der Cybersicherheit gilt: Was man nicht weiß, kann einem schaden.

Bitte verwenden Sie unser Kontaktformular, wenn Sie Fragen dazu haben, wie wir Ihnen und Ihrem Unternehmen helfen können, sich vor Cyber-Kriminellen zu schützen.

Lesen Sie also mehr über die technischen Konfigurationen in unserem WIKI hier: QR Attack notes.

Auch unser YouTube-Kanal bietet viele relevante und hilfreiche Inhalte.