Foto: Brastock Images/stock.adobe.com

Quishing: Was Sie gegen die neue Phishing-Variante tun können

Quishing arbeitet mit QR-Codes, die Teil unseres digitalen Alltags sind. Dahinter verbergen sich etwa Speisekarten von Restaurants oder Informationen über Sehenswürdigkeiten. Cyberkriminelle benutzen sie in E-Mails oder Briefpost. Hier gilt es aufmerksam zu sein.

Ein QR-Code, der in eine E-Mail eingebunden ist, wird nur als Bild und von Sicherheitsprogrammen nicht als Risiko erkannt. So gelangen Phishing-Nachrichten mit QR-Codes in die E-Mail-Postfächer von Nutzern, an deren Daten Cyberkriminelle interessiert sind. Sie nutzen das Quishing beispielsweise dazu, um ihre Opfer auf eine gefälschte Website ihrer Hausbank zu locken, wo sie sich dann mit ihrem Passwort und der PIN-Nummer für das Onlinebanking anmelden und dies per TAN-Bestätigung von ihrem Smartphone aus autorisieren.

Diese Daten werden dann von den Cyberkriminellen gestohlen, um im Anschluss die Konten ihrer Opfer zu plündern. Solche Fälle sind bislang in Bezug auf die Commerzbank und die Deutsche Bank bekannt geworden.

Symbolgrafik: Eine verunsicherte Frau, die einen Gauner auf dem Smartphone-Bildschirm zeigt.

Grafik: barks/stock.adobe.com

In der Briefpost-Variante des Quishings geht es angeblich um die regelmäßige Überprüfung der Identität eines Bankkunden aufgrund von EU-Vorschriften. Um dies so einfach wie möglich zu gestalten, soll man den auf dem Anschreiben abgebildeten QR-Code einscannen. Beim Online-Quishing wird in der Betreffzeile der E-Mails zum Beispiel auf ein Sicherheitsproblem hingewiesen, bei dem die Nutzer aktiv werden müssten.

Auf der Zeichnung sehen Sie mehrere Menschen, die sich QR-Codes auf ihren Smartphones anschauen.

Creativa Images/stock.adobe.com

Das Ziel der Betrüger ist immer, dass die Nutzer den QR-Code auf ihrem Smartphone einscannen, und diese dann auf eine gefälschte Website weiterleiten. Die Smartphones erkennen in der Regel nicht, dass die angesteuerte Website gefälscht ist. „Hier können unterschiedliche Dinge passieren. Entweder laden Nutzer Dokumente herunter, die mit Malware verseucht sind, oder sie geben Login-Daten ein, die direkt an die Betrüger weitergeleitet werden“, erläuterte Patrycja Schrenk, Geschäftsführerin der PSW GROUP, gegenüber dem IT-Sicherheitsmagazin.

Die erbeuteten Zugangsdaten der Nutzer können von den Cyberkriminellen dafür missbraucht werden, um Einkäufe auf Online-Plattformen im Namen der ahnungslosen Nutzer zu tätigen oder um Zugang zu geschützten Firmennetzwerken zu erlangen.

Das können Sie dagegen tun

Die IT-Sicherheitsexpertin Patrycja Schrenk rät:

Prüfen Sie sorgfältig, ob es sich bei der Mail oder dem Brief um eine Fälschung handeln könnte. Öffnen Sie bei verdächtigen Nachrichten keine Anhänge, klicken Sie auf keine Links und scannen Sie keine QR-Codes ein. Kontaktieren Sie den vermeintlichen Absender über offizielle Kanäle, um sich zu vergewissern, ob die Nachricht tatsächlich von diesem Absender stammt.
Nutzen Sie eine Multi-Faktor-Authentifizierung. Sie ist ein wirksamer Schutz vor allen Formen des Phishings. Selbst wenn Kriminelle ihre Zugangsdaten in Erfahrung bringen, fehlt ihnen dann der zweite oder dritte Faktor zum erfolgreichen Einloggen unter Ihrem Namen.

Bei Briefpost-Quishings empfiehlt das Landeskriminalamt Niedersachsen:

Wer einen solchen Brief erhält, sollte sicherheitshalber den persönlichen Bankberater anrufen und den Sachverhalt abklären.
Die Empfänger eines solchen Briefs sollten bei der örtlichen Polizei oder über eine Onlinewache eine Anzeige erstatten und dabei das eingescannte oder den abfotografierte Brief übermitteln.
Wer auf die Masche hereingefallen ist, sollte unverzüglich sein Kreditinstitut informieren und den Zugang sperren lassen. Hierfür kann auch der Sperrnotruf genutzt werden.