Mobiltelefon scannt einen verdächtigen QR-Code, der auf einer Straßenlaterne angebracht ist

QR-Phishing

Beim Quishing nutzen Cyberkriminelle manipulierte oder gefälschte QR-Codes für ihre betrügerischen Zwecke, wie den Diebstahl von Zugangsdaten und das Verbreiten von Malware.

Was ist Quishing?

QR-Codes haben in den letzten Jahren ihren Weg in die verschiedensten Bereiche unseres Alltags gefunden – von der Speisekarte im Restaurant über das Bezahlen von Produkten und Dienstleistungen on- und offline bis hin zum einfacheren Zugriff auf Websites. Die Vorteile von QR-Codes sind sowohl aus Unternehmens- als auch aus Verbrauchersicht unumstritten. Dennoch sind sie auch mit Risiken verbunden.

Für den Super Bowl 2022 entwickelte die Krypto-Plattform Coinbase eine besonders raffinierte Werbeanzeige, bei der ein QR-Code auf einem Bildschirm herumsprang. User, die den Code scannten, wurden zum App-Download weitergeleitet und erhielten 15 US-Dollar in Bitcoin. Mit einem Anstieg an App-Installationen um 309 Prozent in der ersten Woche brachte die Werbeanzeige Coinbase zweifellos den erhofften Erfolg. In der Cybersicherheits-Community sorgte sie jedoch für einigen Wirbel: Expertinnen und Experten warnten erneut ausdrücklich davor, dass unbekannte QR-Codes oft viel zu leichtgläubig gescannt würden. Und die Bedenken waren nicht unbegründet. Erst einige Wochen zuvor machten Meldungen über Krypto-QR-Scams die Runde. Dabei hatten Cyberkriminelle physische Krypto-Geldautomaten mit QR-Codes gekoppelt und ihre Opfer dazu gebracht, Geld von ihren Renten- und Anlagekonten abzuheben.

Diese noch recht neue Betrugsmasche nennt sich Quishing – eine Wortkombination aus „QR“ und „Phishing“. Je weiter die Beliebtheit von QR-Codes wächst, desto beliebter werden sie auch als Angriffsvektor für Cyberkriminelle. Um das Konzept des Quishing zu veranschaulichen, werfen wir zunächst einen Blick auf die beiden Hauptkomponenten: QR-Codes und Phishing. 

Bildschirm eines Mobiltelefons zeigt einen verdächtigen QR-Code

Was sind QR-Codes?

QR-Codes bzw. Quick-Response-Codes sind zweidimensionale Barcodes, die mit dem Smartphone oder einem Barcode-Scanner gescannt werden können. Im Vergleich zu traditionellen, eindimensionalen Strichcodes, die wir von Supermarktprodukten gewohnt sind, bieten QR-Codes einige Vorteile: Sie können größere Datenmengen speichern, sind auch in teilweise beschädigtem Zustand noch scannbar und ermöglichen die einfache und schnelle Übertragung von Daten. Das waren auch die Hauptgründe, die einen Zulieferer des japanischen Automobilherstellers Toyota, Denso, 1994 zur Erfindung der QR-Codes bewegten. Durch deren Implementierung konnte das Unternehmen die Effizienz seiner Produktionsprozesse steigern und somit die drohenden Auswirkungen einer Rezession auf das Unternehmen abschwächen.

In den letzten Jahren ist der Einsatz von QR-Codes explosiv angestiegen. Während der COVID-19-Pandemie wurden sie verstärkt im geschäftlichen Umfeld eingesetzt, da sie die Fortsetzung des Betriebs und gleichzeitig die Einhaltung der räumlichen Distanz ermöglichten. Als Folge sind wir heute an das Scannen von QR-Codes gewöhnt und machen es ohne größere Bedenken. Eine aktuelle Studie bestätigt, dass bis 2025 in den USA 99,5 Millionen User QR-Codes mit ihrem Smartphone scannen werden. Einer anderen Studie zufolge sind 59 Prozent der Meinung, dass das Scannen von QR-Codes in Zukunft fest zur Nutzung ihres Smartphones gehören wird.

Die unzähligen Vorteile von QR-Codes – wie die speicherbare Datenmenge und die Tatsache, dass sie (im Gegensatz zu traditionellen Barcodes) von Displays wie auch Papier scannbar sind – haben verschiedene Branchen dazu veranlasst, ihr Potenzial zu erkunden. Besonders beliebt sind sie inzwischen zur Zahlungsverarbeitung, aber auch in Marketing- und Werbekontexten. Heute begegnen wir QR-Codes an öffentlichen Plätzen, wie auf Werbetafeln, in Restaurants, auf Flyern und Stickern, aber auch auf dem Smartphone – in Textnachrichten, den sozialen Medien und E-Mails.

Dynamische vs. statische QR-Codes

Es gibt zwei Arten von QR-Codes – statische und dynamische QR-Codes – die sich darin unterscheiden, ob die enthaltenen Daten geändert werden können oder nicht. 

Statische QR-Codes werden verwendet, wenn sich die verschlüsselten Informationen voraussichtlich nicht ändern werden. Ist der Code erst einmal erzeugt, lassen sich die enthaltenen Daten nicht mehr bearbeiten. Diese Art von QR-Code wird oft zu einfachen Zwecken wie dem Teilen von Website-Links, Kontaktdaten oder WLAN-Passwörtern genutzt. 

Dynamische QR-Codes bieten hingegen mehr Flexibilität, da hinterlegte Daten aktualisiert werden können, ohne das Aussehen des Codes an sich zu ändern. Diese Codes enthalten eine einzigartige URL, die zu einem Server führt, auf dem die Daten gespeichert sind. Wird ein dynamischer QR-Code gescannt, leitet er den User auf die URL weiter, wo er auf die aktuellen Daten zugreifen kann. Dies macht dynamische QR-Codes zur idealen Lösung, wenn die enthaltenen Daten regelmäßig aktualisiert werden müssen, wie zum Beispiel bei Veranstaltungsdaten, Sonderangeboten oder der Bestandsverfolgung in Echtzeit. Gleichzeitig besteht jedoch auch das Risiko, dass Cyberkriminelle diese QR-Codes zu böswilligen Zwecken manipulieren, indem sie ihre Zieladresse durch schädliche Inhalte ersetzen.

Infografik zu den Unterschieden zwischen statischen und dynamischen QR-Codes

Was ist Phishing?

Phishing ist eine der beliebtesten Maschen von Cyberkriminellen, um sich Zugang zu sensiblen Daten zu verschaffen. Dabei handelt es sich um eine Art von Social-Engineering, das hauptsächlich per E-Mail ausgeführt wird. Eine Phishing-Mail enthält meistens einen Link oder Anhang, den User anklicken bzw. herunterladen sollen – sodass die Cyberkriminellen sensible Daten wie Zahlungsdaten oder Zugangsdaten zu Unternehmenskonten erhaschen können. Da Cyberkriminelle ständig an ihren Taktiken feilen, entstanden daraus verschiedene Phishing-Angriffsmethoden wie Vishing, Smishing und eben QR-Phishing – auch „Quishing“ genannt.

Phishing mit QR-Codes: Wie funktioniert Quishing?

Wie erwähnt, ist Quishing eine Art von Phishing. Dabei werden Personen mithilfe von QR-Codes dazu gebracht, schädliche Webseiten aufzurufen oder ein infiziertes Dokument herunterzuladen. Da man die verschiedensten Quellen mit QR-Codes verknüpfen kann, ist es Angreifenden ein Leichtes, QR-Codes mit schädlichen Links, mit Viren infizierten Dokumenten und mit gefälschten Zahlungsportalen zu manipulieren. Indem QR-Codes als Bild eingefügt werden (zum Beispiel in E-Mails), sind die verlinkten Inhalte nicht erkennbar und ermöglichen es Cyberkriminellen, Sicherheitsfilter einfach zu umgehen.  

Am Anfang eines Quishing-Angriffs steht ein von Cyberkriminellen erstellter QR-Code. Solche QR-Codes können als Bild oder Anhang in E-Mails eingefügt oder an öffentlichen Orten angebracht werden, wo die Wahrscheinlichkeit sehr hoch ist, dass sie unbedacht gescannt werden. Nach dem Scannen des QR-Codes wird das Opfer zur Eingabe sensibler Informationen, wie Zugangs- oder Bankdaten, oder zum Download schädlicher Software oder Apps aufgefordert. In manchen Fällen beginnt der Download automatisch, sobald der QR-Code gescannt wurde.

Infografik, die den typischen Ablauf einer QR-Phishing-Attacke zeigt

Bei einem aktuellen Quishing-Vorfall nutzten Cyberkriminelle zuvor kompromittierte Konten von Mitarbeitenden dazu, Zugriff auf Microsoft-Zugangsdaten zu erhalten. Dabei schickten sie E-Mails, die angeblich eine Sprachnachricht der Kontoinhaber enthielten, die nur durch Scannen des QR-Codes abhörbar sein sollte. Nach dem Scannen wurden die Mitarbeitenden auf eine täuschend echte Microsoft Login-Seite weitergeleitet, auf der sie unwissentlich ihre Anmeldedaten preisgaben. In einem ähnlichen Fall gaben sich die Angreifenden als Bank aus. Per E-Mail forderten sie die Kundinnen und Kunden der Bank auf, die neuen Datenschutzrichtlinien zu bestätigen oder sich mit neuen Sicherheitsprozessen vertraut zu machen. Dazu sollte ein QR-Code gescannt werden. Nach dem Scannen wurden die Kundinnen und Kunden auf eine Landingpage weitergeleitet, die genauso aussah wie die Login-Seite der Bank.

Was ist QRLjacking?

Quick Response Login (QRL) ist eine benutzerfreundliche Authentifizierungsmethode, bei der man sich mittels QR-Codes in Webseiten, Apps oder digitale Dienste einloggt. Statt der manuellen Eingabe von Benutzername und Passwort scannen die User einfach den auf dem Anmeldebildschirm der App oder Website angezeigten QR-Code mit ihrem Smartphone. Nach dem Scannen erfolgt entweder automatisch der Login, oder User müssen ihre Identität durch eine zweite Authentifizierungsmethode bestätigen, falls Zwei-Faktor-Authentifizierung aktiviert ist. 

Zunächst diente QRL zur praktischen und sicheren Authentifizierung, dank der man sich keine langen Passwörter einprägen musste. Doch Cyberkriminelle machten sich die Methode schnell für ihre betrügerischen Zwecke zunutze – mit einer Masche namens QRLjacking:

  1. Zunächst suchen sie über einen QR-Code selbst die Website oder App auf, auf der sich auch ihre Opfer per QR-Code einloggen sollen.
  2. Daraufhin klonen sie den ursprünglichen QR-Code und manipulieren ihn, sodass er den User auf ihre eigenen Server weiterleitet.
  3. Auf einer gefälschten Login-Seite, die der Originalseite zum Verwechseln ähnlich sieht, betten sie den QR-Code anschließend ein.
  4. Ist der QR-Code platziert, teilen Sie den Link zur manipulierten Anmeldemaske via E-Mail oder andere Kanäle, um die Empfänger zum Scannen des Codes und zum Einloggen zu bewegen.
  5. Wenn keine Multi-Faktor-Authentifizierung aktiviert ist, kann das fatale Folgen haben, denn sobald das Opfer den QR-Code scannt, erlangen die Angreifenden somit Zugriff auf dessen Konto.

Einem solchen Betrugsfall ist die ING Bank zum Opfer gefallen, deren App Kundinnen und Kunden ermöglicht, sich durch Scannen eines in der Mobil-App angezeigten QR-Codes auf einem Zweitgerät einzuloggen. Diese Funktion nutzten Cyberkriminelle aus, um auf ING-Kundenkonten zuzugreifen, indem sie die QR-Codes in der App manipulierten. In Folge dieses Betrugs verschwanden Tausende Euro von den Bankkonten betroffener Kundinnen und Kunden.

QR-Phishing: Beispiele aus dem echten Leben

Der Erfindungsreichtum der Cyberkriminellen kennt keine Grenzen. Sie entwickeln ständig neue Strategien, um bei ihren Phishing-Angriffen das Potenzial von QR-Codes auszunutzen. Ob Zugangsdaten oder Kreditkarteninformationen – durch ausgeklügelte Social-Engineering-Methoden führen sie ihre Opfer hinters Licht und gelangen an ihre sensiblen Daten.

Betrug mit QR-Codes auf Parkautomaten und Strafzetteln

Besonders gefährlich wird Quishing, wenn unsere Bank- oder Zahlungsdaten auf dem Spiel stehen. Bei einem Fall in Texas beklebten Cyberkriminelle Parkscheinautomaten mit QR-Codes, die die Zielpersonen auf eine gefälschte Bezahlwebsite führten. Mit der Absicht, ihren Parkschein zu bezahlen, gaben sie dort ihre Kreditkartendaten ein und teilten diese somit unwissentlich mit den Angreifenden. Ein ähnlicher Fall trug sich im Februar 2022 in Atlanta zu. Dort fanden Fahrzeughalterinnen und -halter gefälschte Strafzettel an ihren Fahrzeugen vor, die über einen QR-Code bezahlt werden sollten. Nachdem der Betrug bekannt wurde, warnten die örtlichen Behörden die Öffentlichkeit und wiesen darauf hin, dass auf legitimen Parkscheinen bzw. Strafzetteln in Atlanta grundsätzlich keine QR-Codes zu finden seien.

Tweet einer Warnung vor Quishing-Attacken und ein Strafzettel mit einem gefälschten QR-Code

Bankkonten im Visier von E-Mail-Quishing-Betrug

Wie zuvor erläutert, sind QR-Phishing-Mails eine weitere beliebte Betrugsmasche mit dem Ziel, an sensible Bankdaten der Zielpersonen zu gelangen. Bei einer QR-Phishing-Kampagne wurden 2022 in China E-Mails verschickt, die angeblich vom chinesischen Finanzamt stammten. Darin wurden die Zielpersonen informiert, dass sie einen neuen staatlichen Zuschuss beantragen konnten, wozu sie über eine Mobile-Messaging- und Zahlungs-App (WeChat) einen im Anhang enthaltenen QR-Code scannen sollten. Gefälschte QR-Codes sind bei Hackern beliebt, da technische Sicherheitsmechanismen sie nur schwer erkennen können. Zudem werden sie meist über Mobiltelefone gescannt, die normalerweise schwächer geschützt sind als ein Computer. Nach dem Scannen des Codes wurden die Zielpersonen auf eine Bewerbungsseite weitergeleitet, auf der sie ausführliche Angaben, unter anderem zu ihren Kreditkarten und Bankkonten, machen sollten.

Manipulierte QR-Code-Generatoren und Krypto-Betrug

QR-Codes sind ein praktisches Tool zum Teilen von Kryptowährungs-Adressen und zur Übertragung digitaler Informationen. Neben der integrierten Funktion zum Erstellen solcher QR-Codes, die Krypto-Wallets meist bieten, findet man im Web unzählige kostenlose QR-Code-Generatoren. Bei einem großangelegten Betrug erstellten Cyberkriminelle mehr als neun schädliche Webseiten, die anstatt einer legitimen QR-Code-Adresse einen QR-Code erstellten, der auf ihre eigenen Krypto-Wallets verlinkte. Jedes Mal, wenn ein User seinen QR-Code teilen wollte, um eine Zahlung einzufordern, endeten die Mittel im Krypto-Wallet der Angreifenden – die Zielpersonen verloren Kryptowährung im Wert von tausenden Euro.

Wie erkennt man einen Quishing-Angriff?

QR-Phishing kommt häufig zum Einsatz, wenn herkömmliches Phishing nicht zum Erfolg führt. QR-Phishing gilt somit als die effektivere Methode. Ein Grund dafür ist, dass Malware- und E-Mail-Filter eine Mail nur als bedrohlich erkennen lassen, wenn sie verdächtige URLs oder Anhänge erkennen. Quishing-Mails enthalten die QR-Codes meist als Bilder, die entweder in die Mail eingebettet oder als Anhang mit unverdächtiger Erweiterung beigefügt sind. So passieren sie E-Mail-Filter, ohne im Spam-Ordner zu landen, und die Zielperson ist den Social-Engineering-Strategien schutzlos ausgeliefert.

Da nicht direkt erkennbar ist, was sich hinter QR-Codes verbirgt, sind sie für Cyberkriminelle ein effektiver Angriffsvektor, denn sie rufen automatisch Neugier bei der Zielperson hervor. Dieser geheimnisvolle Effekt kann in Kombination mit emotionaler Manipulation besonders nicht sensibilisierte Personen zum Scannen schädlicher QR-Codes bewegen. Gerade durch Emotionen wie Angst und Dringlichkeit wird die Zielperson dazu gebracht, vermeintliche Rechnungen oder Strafzettel zu bezahlen. Dabei sind auch die unkomplizierten Nutzungsmöglichkeiten von QR-Codes ein großer Vorteil. Doch bei der emotionalen Manipulation machen Angreifende noch lange nicht Schluss. Bevor Sie einen QR-Code scannen, achten Sie auf die folgenden Quishing-Warnsignale:

Infografik zu den Unterschieden zwischen physischen und digitalen QR-Codes

Tipps zum Schutz vor Quishing

QR-Phishing-Angriffe haben mit traditionellen Phishing-Angriffen viel gemeinsam. Deshalb gelten die meisten Tipps zum Erkennen von Phishing auch für Quishing-Angriffe: Überprüfen Sie die Absenderadresse, Domains und E-Mail-Inhalte auf Tippfehler. Schauen Sie sich die Ansprache genauer an –  eine unpersönliche Ansprache ist verdächtig. Überprüfen Sie die Zieladresse enthaltener Links, bevor Sie daraufklicken, und laden Sie keine verdächtigen Anhänge herunter. Darüber hinaus nutzt QR-Phishing verschiedene Schwachstellen aus, die Sie mit folgenden Empfehlungen absichern können:

  • Überprüfen Sie den Urheber des QR-Codes: Scannen Sie keine QR-Codes fremder Quellen, vor allem wenn diese attraktive Angebote oder Rabatte anpreisen. Haben Sie den Code von einer offiziellen Quelle oder einer Person aus Ihrem Team erhalten, fragen Sie vor dem Scannen kurz nach bzw. überprüfen Sie die offizielle Website des Absenders.
  • Nutzen Sie einen vertrauenswürdigen QR-Code-Scanner: Die meisten Smartphones verfügen über integrierte Scanner in der Kamera oder via Google Lens. Wenn Sie eine Dritt-App herunterladen, überprüfen Sie ihre Vertrauenswürdigkeit. Es gab bereits Fälle, in denen Cyberkriminelle die Geräte der User durch schädliche Updates für QR-Scanner-Apps infizierten.
  • Überprüfen Sie die Ziel-URL: Falls Ihre Scanning-App die Möglichkeit bietet, überprüfen Sie den Link, auf den der QR-Code Sie weiterleitet, bevor Sie ihn anklicken. Das kann Sie davor bewahren, dass direkt nach dem Scannen automatisch Schadsoftware auf Ihr Gerät heruntergeladen wird.
  • Geben Sie nach dem Scannen eines QR-Codes niemals unbedacht Daten ein: Werden Sie auf eine Seite weitergeleitet, die Sie zur Eingabe persönlicher Daten auffordert, werfen Sie zunächst einen genauen Blick auf das Logo und die vollständige URL der Website. Wenn möglich, geben Sie die Original-URL von Hand in den Browser ein, anstatt sensible Daten über einen Link oder QR-Code preiszugeben.
  • Aktivieren Sie Zwei-Faktor-Authentifizierung: Dieser zusätzliche Schutzwall funktioniert genauso wie beim traditionellen Phishing. Sollten Ihre Daten in die Hände von Cyberkriminellen geraten, können diese dennoch nicht auf Ihre Konten zugreifen, solange Sie nicht den zweiten Authentifizierungsschritt bestätigen. Das bedeutet wiederum, dass Sie keine Benachrichtigungen bestätigen sollten, wenn Sie nicht selbst versucht haben, auf Ihr Konto zuzugreifen – insbesondere, wenn Sie sehr viele Benachrichtigungen in kurzer Zeit erhalten. Das ist ein klares Zeichen, dass Hacker an Ihre Daten gelangt sind und versuchen, auf Ihre Konten zuzugreifen.
  • Bleiben Sie durch regelmäßiges Security Awareness Training auf dem Laufenden: Um Cyberkriminellen stets einen Schritt voraus zu sein, sollten Sie Ihre aktuellen Betrugsmaschen kennen und wissen, wie Sie im Falle eines Angriffs richtig handeln.

Der wachsende Trend des QR-Code-Phishing: So können sich Organisationen schützen

Während Cyberangriffe in rasantem Tempo zunehmen, gehört QR-Code-Phishing zu den noch recht neuartigen, aber höchst effektiven Angriffstaktiken. Dabei setzen Angreifende auf die Tatsache, dass viele Personen noch nicht mit QR-Codes vertraut sind, während andere bereits so daran gewöhnt sind, dass sie diese oft scannen, ohne sie zu hinterfragen oder die damit verbundenen Risiken zu kennen. Organisationen, deren Mitarbeitende nicht mit den Vor- und Nachteilen von QR-Codes vertraut sind, riskieren, Quishing-Angriffen zum Opfer zu fallen – was die Wichtigkeit regelmäßiger Trainings zu diesem Thema umso deutlicher macht.

Das Cyber Security E-Learning von SoSafe bietet mit zielgerichteten, kleinen Lerneinheiten zum Thema QR-Code-Phishing die optimale Lösung. Steigern Sie die Awareness Ihrer Mitarbeitenden und geben Sie ihnen wichtiges Wissen an die Hand, damit sie Cyberangriffe zuverlässig erkennen und so die digitale Verteidigungskette Ihrer Organisation stärken.

Bleiben Sie Cyberkriminellen immer einen Schritt voraus

Melden Sie sich für unseren Newsletter an, um die neuesten Beiträge zum Thema Informationssicherheit sowie News zu Events und Security-Ressourcen zu erhalten.
Immer up-to-date – immer sicher!

Newsletter visual