Quishing: Phishing mit QR-Code

Quishing ist keine neue, jedoch eine noch recht unbekannte Form des Phishings, bei der QR-Codes eine große Rolle spielen. Im heutigen Beitrag erfahren Sie, was Quishing konkret bedeutet, wie sich diese Gefahr in Ihrer Organisation auswirken kann und wie Sie sich vor Quishing schützen.

Phishing nach wie vor beliebt

Phishing-Kampagnen stehen hoch im Kurs bei Cyberkriminellen – sie gehören zu den beliebtesten Angriffsmethoden. Kein Wunder, denn diese Phishing-Kampagnen sind lohnenswert: Mit gut gefälschten und immer professioneller werdenden E-Mails im Namen von Banken oder Unternehmen versteckt sich entweder Malware im Anhang oder hinter eingebaute Links oder Cyberkriminelle versuchen, so an persönliche Daten ihrer Opfer zu gelangen.

Nutzende sind aufgrund heutiger Spam-Filter und Virenscanner eigentlich ganz gut geschützt; die Technik sorgt dafür, dass viele verseuchte Phishing-E-Mails schon im Vorfeld aussortiert werden. Je professioneller jedoch die Fälschungen der Cyberkriminellen, umso schwieriger für Menschen, Phishing-E-Mails von echten zu unterscheiden. Und um die Sache noch etwas komplexer werden zu lassen, suchen sich Cyberkriminelle immer neue Methoden, um Sicherheitsvorkehrungen umgehen zu können. Eine davon ist das Quishing – das Phishing mit QR-Codes.

Quishing: Phishing ohne Links, aber mit QR-Code

Sicherheitslösungen scannen E-Mails für gewöhnlich auf Anhänge und URLs. In Phishing-Mails mit QR-Codes, also dem Quishing, umgehen Cyberkriminelle diese Kontrollen jedoch – Nachrichten dieser Art landen quasi unter dem Sicherheitsradar direkt im Opfer-Postfach. QR-Codes funktionieren ähnlich den Strichcodes, die Sie von Produkten kennen – sie arbeiten visuell. Genau das wird von Sicherheitsprogrammen nicht bemerkt, da diese den Text bzw. Code einer E-Mail prüfen, der jedoch unverdächtig erscheint.

In den Mails wird – wie beim Phishing üblich – behauptet, es läge irgendein Sicherheitsproblem vor und Nutzende müssten nun aktiv werden. Alternativ behaupten die Betrügenden, dass ihre Opfer ein Dokument bräuchten, welches hinter dem QR-Code versteckt sei. So oder so: Nutzende werden angehalten, einen QR-Code mit dem Smartphone zu scannen.

Folgen Nutzende nun dieser Aufforderung, werden sie mit dem Smartphone auf gefälschte Websites weitergeleitet. Hier können unterschiedliche Dinge passieren: Entweder laden Nutzende dann Dokumente herunter, die mit Malware verseucht sind, oder sie geben Login-Daten ein, die direkt an die Betrügenden weitergeleitet werden.

Quishing: Problematisch für Organisationen

Schon für Privatnutzende ist dieses Szenario unschön. Ist Quishing in Organisationen erfolgreich, wird der Betrug noch dramatischer: Sind die QR-Code-scannenden Smartphones mit dem mobilen Internet verbunden, verlassen Nutzende die abgesicherte Infrastruktur der Organisation, sodass die Sicherheitslösungen des Firmennetzes nicht länger greifen können. Die URL, die hinter dem QR-Code steckt, lässt sich mit dem Smartphone in aller Regel nicht auf Auffälligkeiten prüfen, da diese auf dem Smartphone nicht vollständig angezeigt wird.

Aktuelle Quishing-Kampagne mit Microsoft 365

Aktuell versuchen Cyberkriminelle, Nutzerdaten für den Cloud-Service Microsoft 365 zu erbeuten – offenbar eine Weiterentwicklung einer weniger gut funktionierenden Taktik: Ursprünglich wurden E-Mails mit einer URL versandt, die zu einer angeblichen Voicemail führen sollte. Um diese anzuhören, war es notwendig, die Login-Daten einzugeben. Gängige Antivirenprogramme erkannten die Masche jedoch ziemlich schnell und blockten diese E-Mails.

Der einstige Link wurde von den Cyberkriminellen durch einen QR-Code ersetzt – und die betrügerische Absicht dahinter wird, wie oben erwähnt, von gängigen Sicherheitslösungen nicht erkannt, weil die vermeintlich harmlose Bilddatei nicht als gefährlich eingestuft wird. Eine erhöhte Glaubwürdigkeit erhält diese Quishing-Kampagne dadurch, dass die E-Mails von E-Mail-Accounts versendet werden, die bereits mit Schadsoftware infiziert wurden. Reale Mitarbeitende von realen Unternehmen scheinen also dahinterzustehen. Wenngleich noch nicht geklärt ist, wie die Kriminellen sich Zugang zu diesen E-Mail-Accounts verschafft haben, erhöht diese Tatsache leider die Glaubwürdigkeit der Quishing-Mails.

Folgt ein Opfer dem QR-Code, wird es auf eine täuschend echt aussehende Fälschung der Microsoft 365-Login-Seite geleitet. Hier sollen Opfer ihre Nutzerdaten eingeben, um die Voicemail, die in der E-Mail angesprochen wurde, abhören zu können. Folgen Opfer dieser Anweisung, fallen die Daten den Kriminellen in die Hände. Diese eigentlichen Datendiebe in die Finger zu kriegen, ist für Ermittelnde oft auch deshalb schwer, weil Cyberkriminelle Daten gerne an andere Kriminelle weiterverkaufen.

Was hilft gegen Quishing?

Sie sehen: Auch wenn der Umweg über QR-Codes zunächst unnötig aufwendig erscheint, bietet dieses Vorgehen für Kriminelle durchaus Vorteile. Da Sicherheitssoftware QR-Codes als harmlose Bilddateien wahrnimmt, ist die Erfolgsquote für die Kriminellen höher. QR-Codes werden auch hierzulande immer mehr fester Bestandteil des Alltags, weshalb auch die Quishing-Gefahr ernstgenommen werden sollte: Spätestens seit der Corona-Krise dienen QR-Codes der Registrierung, dem Nachweis von Zertifikaten oder auch dem Abrufen von Angeboten oder Speisekarten in Restaurants.

Cyberkriminelle wissen natürlich auch von dieser Entwicklung, wie auch Anna Chung als leitende Cybersecurity-Forscherin bei Unit 42 von Palo Alto Networks gegenüber Tech Monitor erklärte: „Während der Pandemie hat Unit 42 beobachtet, wie Cyberkriminelle in Darknet-Foren darüber diskutierten, wie man QR-Codes missbrauchen und mobile Geräte angreifen kann. Wir haben auch Open Source-Tools und Video-Tutorials gefunden, die Schulungen zur Durchführung von Angriffen mithilfe von QR-Codes anbieten.“

Wie also können Sie sich und Ihre Organisation vor Quishing schützen? Zunächst gilt es, sorgfältig zu prüfen, ob es sich um eine Fälschung handeln könnte. Kontaktieren Sie im Zweifelsfall immer den Absendenden über offizielle Kanäle, um sich zu vergewissern, dass die Nachricht tatsächlich von diesem Absender stammt. Kommen Ihnen Nachrichten verdächtig vor, vermeiden Sie das Öffnen von Anhängen oder Links sowie das Scannen von QR-Codes. Multi-Faktor-Authentifizierung ist ein weiterer wirksamer Schutz vor allen Formen des Phishings: Selbst wenn Kriminelle Ihre Zugangsdaten in Erfahrung bringen könnten, fehlt ihnen der zweite (oder dritte) Faktor zum Einloggen.

Die Sicherheitsrichtlinie Ihrer Organisation sollte Smartphones miteinschließen. Oftmals existieren für Rechner und Notebooks recht strenge Sicherheitsvorkehrungen, aber kaum für Firmentelefone – hier gilt es, umzudenken. Wie Chung von Unit 42 erklärte, lassen sich Cyberkriminelle schulen – und das ist ein weiterer Tipp zu Ihrem Schutz vor Quishing: Lassen Sie die Mitarbeitenden Ihrer Organisation sensibilisieren. Denn nur, wenn Gefahren als solche auch erkannt werden, können Ihre Mitarbeitenden entsprechend handeln.