Unsere mobilen Geräte sind überall dabei, und wir können sie für fast alles verwenden. Für Unternehmen hat es die Barrierefreiheit von Mobilgeräten auch einfacher gemacht, interaktivere Möglichkeiten zur Einführung neuer Produkte und Dienstleistungen zu entwickeln und gleichzeitig die Benutzererfahrung in verschiedenen Branchen zu verbessern. Quick-Response-Codes (QR-Codes) sind ein gutes Beispiel dafür und helfen mobilen Geräten, schnell zu Webseiten zu navigieren oder neue Software zu installieren, indem sie einfach ein Bild scannen.
Allerdings sind legitime Unternehmen nicht die einzigen, die QR-Codes für zusätzlichen Komfort generieren. Cyberkriminelle nutzen auch QR-Codes und die zunehmende Nutzung von Nahfeldtechnologie (NFC), um ausgeklügelte Angriffe auf ahnungslose Opfer zu starten.
Die Federal Trade Commission (FTC) hat von einem steigenden Trend neuer Phishing-Verfahren berichtet, bei denen Betrüger scheinbar legitime QR-Codes verwenden, um Nutzer auf bösartige Webseiten und Anwendungen zu schicken, um verschiedene Cyberangriffe durchzuführen. Diese als „Quishing“ bezeichneten Techniken können sehr effektiv sein, insbesondere wenn die generierten Codes an glaubwürdigen Orten wie Einzelhandel, Geschäftsgebäuden und Markenmarketing-Standorten wie Zeitschriften oder Mailings veröffentlicht werden.
Branchen-Newsletter
Bleiben Sie mit dem Think-Newsletter über die wichtigsten – und faszinierendsten – Branchentrends in den Bereichen KI, Automatisierung, Daten und darüber hinaus auf dem Laufenden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.
Ihr Abonnement wird auf Englisch geliefert. In jedem Newsletter finden Sie einen Abmeldelink. Hier können Sie Ihre Abonnements verwalten oder sich abmelden. Weitere Informationen finden Sie in unserer IBM Datenschutzerklärung.
Der Grund, warum Quishing-Angriffe so effektiv geworden sind, liegt in der Impulsivität, die mit dem Scannen von QR-Codes einhergeht, bedingt durch die Benutzerfreundlichkeit, die Leichtigkeit, mit der die Codes generiert werden können, und die Anonymität, die sie bieten.
Jeder kann mithilfe einer Reihe kostenloser Tools online einen QR-Code erstellen. Da alle QR-Codes ein ähnliches Design haben, lässt sich erst nach dem Scannen vorhersagen, welche Aktion ein QR-Code auf einem Gerät auslösen wird.
Cyberkriminelle generieren in der Regel Codes, um auf bösartige Websites umzuleiten, wo sie versuchen, Malware-Skripte zu installieren, oder sie versuchen, zusätzliche Berechtigungen auf dem Gerät anzufordern, die für die spätere Verwendung gespeichert werden können. Diese Codes können dann ausgedruckt und direkt über legitime QR-Codes geklebt werden, damit sie so aussehen, als kämen sie aus einer seriösen Quelle.
Viele Menschen denken nicht zweimal darüber nach, diese QR-Codes zu scannen und akzeptieren oft die auf ihren Geräten angezeigten Sicherheitsumgehungs-Prompts, um leichter auf die Anwendung oder die Dienste zugreifen zu können.
Als QR-Codes zum ersten Mal auftauchten, wussten nur wenige Menschen, was sie waren oder wie man sie überhaupt benutzt. Da jedoch die meisten modernen Mobilgeräte NFC-Technologie nutzen und Daten senden und empfangen können, wurden sie zu einem beliebten Medium für einfache Werbung und zusätzlichen Komfort für die Nutzer.
Heutzutage werden QR-Codes von einer Vielzahl von Personen verwendet, und Cyberkriminelle haben Quishing genutzt, um anfällige Personen anzusprechen. Viele davon sind:
Häufig besuchte öffentliche Einrichtungen wie Restaurants und Cafés sind bevorzugte Ziele für Quishing-Opfer. Viele dieser Risiken traten während der COVID-19-Pandemie deutlicher zutage, als QR-Codes verstärkt genutzt wurden, um unnötigen Kontakt bei der Verwendung physischer Speisekarten oder bei Zahlungen zu vermeiden.
Da der Trend zur Nutzung von QR-Codes anhält, haben sich die Gefahren des Quishings über die Jahre nur noch verstärkt. Einzelpersonen und Unternehmen sollten geeignete Vorkehrungen treffen, um nicht Opfer zu werden.
Die FTC hat verschiedene Strategien bereitgestellt, die Unternehmen verfolgen können, um sich vor Quishing-Schemata zu schützen. Dazu gehören:
Denken Sie nach, bevor Sie scannen: Es ist wichtig zu wissen, dass QR-Codes zwar praktisch und einfach zu bedienen sind, aber auch versteckte Gefahren bergen können. Bevor Sie einen neuen Code scannen, vergewissern Sie sich, dass Sie nur Codes aus seriösen Quellen scannen. Dies gilt besonders, wenn der QR-Code Zugriff auf bestimmte Berechtigungen auf Ihrem mobilen Gerät benötigt, um ordnungsgemäß zu funktionieren.
Auf physische Anzeichen von Manipulation achten: Wenn Sie QR-Codes an öffentlichen Plätzen verwenden, sollten Sie auf physische Anzeichen von Manipulation achten. Nicht alle QR-Code-Aufkleber sind zwangsläufig schädlich, dennoch sollten Sie sie sorgfältig prüfen, um festzustellen, ob sie verpixelt oder falsch ausgerichtet sind. Wenn es verdächtig aussieht, scannen Sie ihn einfach nicht.
Prüfen Sie die URLs, bevor Sie sie verwenden: Die meisten Mobilgeräte verfügen über Sicherheitsprotokolle, mit denen Sie einen Versuch einer URL-Weiterleitung überprüfen können, bevor Sie der Navigation auf der Website zustimmen. Nehmen Sie sich die Zeit, um sicherzustellen, dass der gescannte QR-Code Sie zur richtigen Website oder mobilen Anwendung führt.
Vorsicht bei nicht angeforderten QR-Anfragen: Der Erhalt nicht angeforderter E-Mails von scheinbar legitimen Websites mit der Aufforderung zum Scannen von QR-Codes sollte mit Vorsicht behandelt werden. Wenn Sie aufgefordert werden, einen QR-Code zu scannen, ohne zu wissen, wofür er verwendet wird, sollte das ein Warnsignal sein. Wenn Sie Zweifel an der Legitimität haben, kontaktieren Sie das Unternehmen oder gehen Sie direkt auf dessen Website, ohne Weiterleitungslinks zu verwenden.
NFC sollte bei Nichtgebrauch ausgeschaltet bleiben: Als Faustregel empfiehlt es sich, NFC bei Nichtgebrauch ausgeschaltet zu lassen. So können Sie verhindern, dass Daten ohne Ihre Zustimmung zwischen Geräten ausgetauscht werden. Außerdem können Sie so vermeiden, dass Sie beim Scannen von öffentlichen QR-Codes unüberlegt handeln.
QR-Codes sind eine bequeme Möglichkeit, Anwendungen zu installieren und mehr Informationen über verschiedene Marken und Dienstleistungen zu erhalten. Es ist jedoch wichtig, dass der Komfort des Scannens eines QR-Codes Ihre gute Urteilskraft beim Schutz Ihrer Privatsphäre nicht Cloud.
Wenn Sie wachsam bleiben und die besprochenen Richtlinien befolgen, sind Sie und Ihr Unternehmen besser davor geschützt, Opfer von Quishing-Methoden zu werden.