Phishing per QR-Code auf dem Vormarsch
Quishing kombiniert QR-Codes mit klassischen Phishing-Techniken. Wie das Cybersicherheitsunternehmen Sophos berichtet, nehmen diese Angriffe seit Juni 2024 deutlich zu. Die Betrüger versenden dabei E-Mails mit PDF-Anhängen, die harmlos aussehende QR-Codes enthalten. Wenn Mitarbeiter diese Codes mit ihren Smartphones scannen, landen sie auf täuschend echt aussehenden Loginseiten.
Besonders gefährlich ist die neue Betrugsmasche laut Sophos, weil sie gezielt die üblichen Sicherheitsmechanismen umgeht. Während Unternehmenscomputer oft gut gegen Phishing-Angriffe geschützt sind, verfügen Smartphones der Mitarbeiter meist über weniger Sicherheitsfunktionen. Zudem lässt sich eine in einem QR-Code versteckte Web-Adresse kaum auf ihre Echtheit überprüfen, da sie nur kurz beim Scannen angezeigt wird.
Die Angreifer gehen dabei hochprofessionell vor. Sie nutzen kompromittierte E-Mail-Konten legitimer Unternehmen und gestalten ihre Nachrichten so, als kämen sie von internen Scannern oder HR-Abteilungen. Die gefälschten PDF-Dokumente werden immer ausgefeilter und enthalten oft Firmenlogos sowie personalisierte Informationen der Zielperson. Besonders perfide: Manchmal wird sogar das Branding bekannter Dienste wie DocuSign missbraucht, um Vertrauen zu erwecken.
Ein erfolgreicher Angriff kann weitreichende Folgen haben. In einem von Sophos dokumentierten Fall gelang es den Tätern, sowohl Logindaten als auch MFA-Token (Multifaktor-Authentifizierung) eines Mitarbeiters zu erbeuten. Nur zusätzliche interne Sicherheitsmaßnahmen verhinderten in diesem Fall den Zugriff auf Unternehmensdaten. Die Cyberkriminellen nutzen dabei zunehmend "Quishing as a Service"-Plattformen, die professionelle Tools und Infrastruktur für solche Angriffe bereitstellen.
Experten raten zu einem mehrschichtigen Sicherheitsansatz, um sich vor Quishing zu schützen. Neben technischen Maßnahmen sei vor allem eine offene Unternehmenskultur wichtig, in der Mitarbeiter ermutigt werden, verdächtige Aktivitäten sofort zu melden. Auch sollten Unternehmen ihre Mitarbeiter regelmäßig für diese neue Betrugsmasche sensibilisieren - insbesondere da QR-Codes seit der COVID-Pandemie im Geschäftsalltag weit verbreitet sind und als vertrauenswürdig wahrgenommen werden.