Über QR-Code Phishing und wie Sie Ihre Mitarbeitenden sensibilisieren

31.01.2024 10:16 - Von Salomon Häseli

In diesem Beitrag erfahren Sie mehr über die Gefahren von QR-Code Phishing und wie Sie Ihre Mitarbeitenden dagegen schützen und trainieren können.


Was ist QR-Code Phishing?

QR-Code Phishing, auch als "Quishing" bekannt, ist eine relativ neue Form der Cyberkriminalität, die die Allgegenwart und Bequemlichkeit von QR-Codes für böswillige Zwecke ausnutzt. Cyberkriminelle erstellen dabei bösartige QR-Codes, die nicht als solche erkennbar sind. Die QR-Codes verlinken auf Phishing-Webseiten oder versuchen Malware herunterzuladen. QR-Codes sind überall zu finden: Auf Postern, Flyern oder sogar auf Websites.


Weshalb nutzen Cyberkriminelle QR-Codes in Phishing-Angriffen?

Wie beim klassishing Phishing sollen auch mit QR-Codes Benutzer dazu verleitet werden, ihre sensiblen Daten wie Anmeldedaten, Kreditkartendetails oder persönliche Informationen preiszugeben. Diese Daten werden dann von Cyberkriminellen für Identitätsdiebstahl, Finanzbetrug oder andere bösartige Aktivitäten genutzt.

Mit dem Aufkommen mobiler Geräte und der weit verbreiteten Nutzung von QR-Codes für verschiedene Zwecke haben Cyberkriminelle neue Wege gefunden, diese Technologie zu ihrem Vorteil auszunutzen. Asserdem können klassische Spamfilter umgangen werden, da diese den im QR-Code hinterlegten Link nicht scannen können.


Beispiel eines QR Phshing-Angriffs

Folgende E-Mail bittet den User dringend den QR-Code zu scannen, damit den den Zugang zu seinem Konto weiterhin nutzen kann. Nach dem Scannen wir der User auf eine gefälschte Loginseite geleitet, bei denen die eingegebenen Daten protokolliert werden.


Anstieg von QR-Code Phishing

Durch die gestiegene Nutzung von QR-Codes in verschiedenen Branchen, insbesondere während der COVID-19-Pandemie für kontaktlose Transaktionen, hat sich auch die Anzahl von Quishing-Versuchen startk erhöht. Angreifer entwickeln dabei ihre Menthoden ständig weiter, um die bösartigen QR-Codes noch überzeugender zu gestalten. Diese Angriffe können sowohl auf Privatpersonen als auch auf Unternehmen abzielen und stellen eine erhebliche Bedrohung für die Sicherheit persönlicher und sensibler Daten dar.


Ansteig von 51% bei QR-Phishing-Angriffen

Laut einer neuen Studie von ReliaQuest verzeichnete das Unternehmen im September 2023 einen Anstieg der Quishing-Angriffe um 51 % im Vergleich zu den kumulierten Zahlen für Januar bis August 2023.

Weitere Ergebnisse der Studie sind:

  • Das beliebteste QR-Phishing-Szenario betraf das Zurücksetzen oder Aktivieren von Microsoft 2FA und kam in über 50 % der QR-Phishing-E-Mails in diesem Datensatz vor. Die Opfer wurden aufgefordert, die Daten ihrer Microsoft-Kontos (E-Mail Adresse und Kennwort) einzugeben.
  • Gefälschte Online-Banking Seiten machten 18 % aller QR-Angriffe aus und waren damit die zweitbeliebteste Methode. Die Opfer wurden aufgefordert, ihre Bankdaten auf der Seite einzugeben.

Da QR-Code-Phishing immer häufiger vorkommt, müssen Unternehmen die Risiken kennen und proaktive Massnahmen ergreifen, um sich und ihre Kunden zu schützen.


Gängige QR-Code Phishingmethoden

Cyberkriminelle verwenden verschiedene Techniken, um QR-Code-Phishing-Angriffe auszuführen. Einige gängige Methoden sind:

  • Gefälschte Websites - Cyberkriminelle erstellen gefälschte Websites, die seriösen Websites sehr ähnlich sehen und verleiten die Nutzer zur Eingabe ihrer vertraulichen Daten.
  • Verbreitung von Malware - Über bösartige QR-Codes kann Malware auf das Gerät des Benutzers übertragen werden, so dass Cyberkriminelle unbefugten Zugriff oder Kontrolle über das Gerät erlangen können.
  • Social Engineering - Cyberkriminelle können Social-Engineering-Techniken einsetzen, um Benutzer zum Scannen bösartiger QR-Codes zu verleiten, indem sie bspw. verlockende Belohnungen oder Rabatte anbieten.
  • URL-Umleitung - QR-Codes können so gestaltet sein, dass sie Benutzer auf Phishing-Websites oder bösartige Inhalte umleiten, wo sie zur Eingabe ihrer Daten aufgefordert werden.

Wenn Unternehmen diese gängigen Techniken kennen, können sie ihre Mitarbeiter und Kunden besser über die mit QR-Code-Phishing verbundenen Risiken aufklären und wissen, wie sie potenzielle Bedrohungen erkennen und vermeiden können.


Sensibilisierung als Schlüssel zum Schutz

Mit Manguito erhalten Schweizer KMU die Möglichkeit, ihre Mitarbeitenden zu trainieren, sensibilisieren und mittels Simulationen zu püfen. So kann das Risiko zukünftiger Datenschutzverletzungen reduziert werden.


Simulieren Sie einen realen QR-Phishing-Angriff mit Manguito

In wenigen einfachen Schritten können Sie mit dem Phishing-Tool uPhish sowohl vorgefertigte als auch eigene QR-Phishing-Kampagnen durchführen und auswerten. So sehen Sie, wie anfällig Ihre Benutzer auf diese Art von Angriffen sind.

Kostenloses Assessment und Phishing-Simulation

  1. Füllen Sie das Kontaktformular aus.
  2. Wir scannen Ihre Domäne und das Dark Web und starten eine realistische Phishing-Simulation.
  3. Sie erhalten einen einseitigen Human Risk Report über:
    • Human Risk Score Ihres Unternehmens
    • Schätzung „Time-to-breach“
    • Resultate des Phishing-Angriffs
    • Übersicht der Entdeckungen im Dark Web
    • Schritt-für-schritt Verbesserungsplan