Vorsicht, Quishing!

Aus Ausgabe 4/2024
QR-Codes sind praktische Helfer in der digitalen Welt und werden deshalb gerne und oft arglos gescannt. Das machen sich Kriminelle zunutze und verstecken Phishing-Webseiten und Schadsoftware hinter der harmlosen Fassade. Aktuell landen die heimtückischen Codes sogar im Briefkasten. So können sich Verbraucher schützen.

Bild Nr. 1734, Quelle: Postbank / Antonio Gravante

Das Me­nü ei­nes Re­stau­rants, In­for­ma­tio­nen zum Bahn­fahr­plan oder Zah­lungs­in­for­ma­tio­nen zu ei­ner Rech­nung: Ganz selbst­ver­ständ­lich trifft man im All­tag den „Quick Re­s­pon­se“-Code an (auf Deutsch: „schnel­le Ant­wor­t“), bes­ser be­kannt als QR-Code. Mit den ge­mus­ter­ten Qua­dra­ten las­sen sich viel­fäl­ti­ge In­for­ma­tio­nen ver­pa­cken und bei­spiels­wei­se kom­for­ta­bel mit dem Smart­pho­ne ab­ru­fen. Der Code wird mit­tels Ka­me­ra oder spe­zi­el­ler App ge­scannt, das Ge­rät er­kennt die ge­spei­cher­te Adres­se der Web­sei­te und öff­net bei Be­stä­ti­gung ei­nen Link oder lädt ei­ne Da­tei. Beim Scan­nen ist je­doch Vor­sicht ge­bo­ten: „Auch Be­trü­ger er­zeu­gen QR-Codes für so­ge­nann­te Phis­hing-An­grif­fe. Die­se ha­ben das Ziel, sen­si­ble In­for­ma­tio­nen – et­wa die Zu­gangs­da­ten für das On­line-Ban­kin­g – zu er­beu­ten“, sagt Mi­cha­el Schwab von der Postbank. „Quis­hin­g“ nennt sich die­se Ma­sche – ei­ne Wort­neu­schöp­fung, die sich aus „QR“ und „Phis­hin­g“ zu­sam­men­setzt.

Tü­cki­sche Post

Be­vor­zugt ver­sen­den Kri­mi­nel­le die QR-Codes per E-Mail, ver­bun­den mit der drin­gen­den Auf­for­de­rung, den Code um­ge­hend zu scan­nen – zum Bei­spiel, um das Bank­kon­to zu si­chern und sich er­neut zu au­then­ti­fi­zie­ren. Der Code führt je­doch auf ei­ne ge­fälsch­te Web­sei­te und die vom Nut­zer ein­ge­ge­be­nen In­for­ma­tio­nen lan­den di­rekt bei den Cy­ber­kri­mi­nel­len. „Manch­mal kann ein ein­zi­ger Be­such auf ei­ner kri­mi­nel­len Web­sei­te aus­rei­chen, um den Com­pu­ter mit Schad­soft­ware zu in­fi­zie­ren“, warnt der Post­bank Ex­per­te. Ein kri­ti­scher Blick auf den Ab­sen­der der E-Mail kann ei­ne be­trü­ge­ri­sche Nach­richt leicht ent­tar­nen. Phis­hing-Mails täu­schen den Na­men ei­nes se­riö­sen Ab­sen­ders vor, die Adres­se ist aber feh­ler­haf­t – hat zu­sätz­li­che Satz­zei­chen, Buch­staben­dre­her oder ei­ne an­de­re Län­der­ken­nung. Des­halb ha­ben Be­trü­ger ih­re Ma­sche wei­ter­ent­wi­ckelt: Sie ver­schi­cken seit ei­ni­gen Mo­na­ten im­mer wie­der Brie­fe per Post, die an­geb­lich von der Haus­bank stam­men. Das Schrei­ben ent­hält ei­nen QR-Code, mit dem der Kun­de ei­nen „Ak­tua­li­sie­rungs­pro­zes­s“ durch­füh­ren soll. Folgt er den An­wei­sun­gen, lan­det er auf ei­ner ge­fälsch­ten Web­sei­te.

Im Zwei­fel nicht scan­nen

„Zwar zei­gen Fo­to-Apps und QR-Scan­ner in der Re­gel die In­ter­net­adres­se vor Auf­ru­fen der Web­sei­te an. Erst wenn man dar­auf tippt, wird die Sei­te ge­öff­net. Die meis­ten Vor­schau­en stel­len al­ler­dings ei­ne Kurz­form der Adres­se dar, so­dass man sie nur un­zu­rei­chend prü­fen kan­n“, sagt Mi­cha­el Schwab. Da­her soll­te man im Zwei­fel den QR-Code nicht scan­nen. Wer den Ver­dacht hat, Op­fer ei­nes An­griffs ge­wor­den zu sein, soll­te um­ge­hend han­deln und die wich­tigs­ten Pass­wör­ter än­dern, et­wa fürs On­line-Ban­king und den E-Mail-Ac­coun­t – al­ler­dings von ei­nem an­de­ren End­ge­rät. Zu­dem soll­ten Be­trof­fe­ne den Vor­fall der Po­li­zei mel­den und ih­re Bank kon­tak­tie­ren.

Download

Kontakt

Iris Laduch
Mediensprecherin