Quishing

QR-Code-Phishing ist eine Form von Social Engineering, bei der Cyberkriminelle QR-Codes nutzen, um Menschen dazu zu bringen, vertrauliche Informationen preiszugeben oder schädliche Software herunterzuladen. Ein QR-Code (Quick Response Code) ist ein zweidimensionaler Barcode, der Informationen speichert und von einem Smartphone oder einem anderen Gerät gescannt werden kann. Die Informationen, welche über einen QR-Code aufrufbar sind, können Text, URLs, Kontaktdaten und vieles mehr enthalten.
Social Engineers platzieren beim QR-Code-Phishing manipulierte QR-Codes an Orten, die vertrauenswürdig erscheinen. Zum Beispiel auf Plakaten, Flyern oder in E-Mails. Wenn jemand den QR-Code scannt, wird er zu einer gefälschten Website oder einem schädlichen Link weitergeleitet.

Im Folgenden stellen wir Ihnen Beispiele für Quishing vor, die jedoch auch in abgewandelter Form sowie im DATEV-Kontext auftreten können:

• Gefälschte Zahlungsaufforderungen:
  Ein häufiges Szenario für QR-Code-Phishing ist die Verwendung von gefälschten Zahlungsaufforderungen. Dabei erhalten Opfer eine Rechnung oder Zahlungsaufforderung, die aussieht, als käme sie von einer legitimen Firma oder Institution. Diese gefälschten Dokumente enthalten einen QR-Code, der, wenn gescannt, den Benutzer auf eine Phishing-Seite weiterleitet. Auf dieser Seite wird der Benutzer aufgefordert, seine Kreditkarteninformationen oder andere sensible Daten einzugeben. Oftmals sehen diese Seiten sehr echt aus und können selbst geübte Augen täuschen. Ziel ist es, die eingegebenen Daten zu stehlen und für betrügerische Aktivitäten zu nutzen.

• Manipulierte Werbeplakate:
  Ein weiteres Beispiel ist die Verwendung von manipulierten Werbeplakaten. Diese Plakate können in öffentlichen Bereichen wie Bushaltestellen, Einkaufszentren oder Straßenlaternen angebracht sein und bieten scheinbar attraktive Gewinnspiele oder Sonderangebote an. Der QR-Code auf diesen Plakaten leitet den Benutzer jedoch auf eine gefälschte Website weiter, die persönliche Informationen wie Name, Adresse, Telefonnummer und Kreditkarteninformationen abfragt. Diese Informationen werden dann von den Betrügern verwendet oder verkauft.

• Restaurant-Menüs:
  In Restaurants werden zunehmend QR-Codes auf Menüs verwendet, um den Gästen die Möglichkeit zu geben, Speisen und Getränke online zu bestellen. Betrüger können diese QR-Codes manipulieren oder gefälschte QR-Codes auf echten Menüs anbringen. Wenn ein Gast den manipulierten QR-Code scannt, wird er auf eine gefälschte Website weitergeleitet, die wie die echte Bestellseite des Restaurants aussieht. Dort werden die Kreditkarteninformationen des Gastes erfasst und für betrügerische Transaktionen verwendet.

• Gefälschte E-Mails:
  Phishing-E-Mails sind ein weiteres gängiges Mittel, um QR-Code-Phishing durchzuführen. In diesen E-Mails wird ein QR-Code eingebettet, der angeblich von einer bekannten Firma stammt, z.B. einer Bank, einem Online-Shop oder einem Dienstleistungsanbieter. Die E-Mail fordert den Empfänger auf, den QR-Code zu scannen, um ein Problem zu lösen, eine Belohnung zu erhalten oder eine dringende Aktion durchzuführen. Der QR-Code führt jedoch zu einer Phishing-Seite, die darauf abzielt, Anmeldedaten,informationen oder andere sensible Daten zu stehlen.

• Öffentliche WLAN-Hotspots:
  In öffentlichen Bereichen wie Cafés, Flughäfen oder Hotels findet man oft QR-Codes, die angeblich Zugang zu kostenlosem WLAN bieten. Diese QR-Codes können jedoch von Betrügern manipuliert sein. Beim Scannen des QR-Codes wird der Benutzer auf eine Website weitergeleitet, die Schadsoftware auf das Gerät herunterlädt oder den Benutzer dazu bringt, persönliche Informationen einzugeben. Diese Schadsoftware kann Daten stehlen, das Gerät überwachen oder es für weitere Angriffe nutzen.

Absender, Betreff, Content – diese drei Komponenten sind entscheidend, um Quishing-Angriffe frühzeitig zu erkennen und abzuwehren. Die ABC-Regel bietet eine strukturierte Methode, um QR-Codes auf mögliche Bedrohungen hin zu überprüfen.

Absender prüfen:
Scannen Sie QR-Codes ausschließlich von vertrauenswürdigen und bekannten Quellen, wie offiziellen Websites, offiziellen Materialien seriöser Unternehmen oder offiziellen Apps. QR-Codes, die auf Plakaten, Flyern oder anderen Medien im öffentlichen Raum angebracht sind, können leicht manipuliert sein. Daher empfehlen wir Ihnen dringend, solche QR-Codes zu meiden. Social Engineers kleben außerdem häufig gefälschte QR-Codes über echte QR-Codes. Prüfen Sie dies, bevor Sie einen QR-Code scannen. Seien Sie generell besonders vorsichtig bei QR-Codes, die an ungewöhnlichen Stellen oder auf unprofessionell wirkenden Materialien angebracht sind.

Betreff prüfen:
Einige seriöse QR-Code-Scanner-Apps bieten Sicherheitsfunktionen, die eine URL anzeigen oder gegebenenfalls direkt blockieren, bevor man weitergeleitet wird. Überprüfen Sie URLs sorgfältig, bevor Sie diesen vertrauen und fortfahren. Offizielle Websites haben klare und verständliche URLs. Seien Sie skeptisch bei URLs, die kompliziert oder ungewöhnlich aussehen.

Content prüfen:
Haben Sie eine URL als vertrauenswürdig identifiziert, achten Sie darauf, ob auch die Zieladresse vertrauenswürdig aussieht. Geben Sie keine persönlichen oder finanziellen Informationen ein, wenn ein QR-Code auf eine unbekannte oder verdächtige Website führt.

Sind Sie von einem Quishing-Angriff im DATEV-Kontext betroffen?
Dann können Sie dies an folgende E-Mail-Adresse melden: abuse@datev.de

Dadurch haben wir die Möglichkeit, den Vorfall in Abstimmung mit Ihnen im Bereich Betrugsversuche im DATEV-Kontext zu dokumentieren – selbstverständlich anonym und vertraulich. Sie helfen uns damit, zeitnah weitere Kunden und Mitglieder zu warnen.

Wie Sie sich im Falle eines IT-Sicherheitsvorfalls verhalten sollten, finden Sie unter Hilfe für den Ernstfall.