QR-Codes sind aus unserer modernen Infrastruktur nicht mehr wegzudenken. Sie dienen als effiziente Schnittstelle zwischen der physischen und der digitalen Welt – ob an Parkautomaten, Ladestation, in der Gastronomie oder auf Informationsplakaten. Doch mit der steigenden Akzeptanz dieser Technologie wächst auch eine spezifische Form der Cyberkriminalität: das sogenannte Quishing (QR-Phishing).
Das grundlegende Problem besteht darin, dass der Mensch den hinter dem Code eingebetteten Link nicht direkt lesen oder interpretieren kann. Während wir bei einer E-Mail eine verdächtige URL oft noch erkennen, scannen wir QR-Codes meist impulsiv. Diese niedrige Hemmschwelle machen sich Angreifer gezielt zunutze.
Die Vorgehensweise der Täter
Die Strategie ist oft simpel, aber effektiv. Kriminelle überkleben rechtmäßige QR-Codes an öffentlichen Orten mit manipulierten Varianten. Werden diese gescannt, landet der Nutzer nicht beim gewünschten Dienstleister, sondern auf einer täuschend echt aussehenden Phishing-Seite. Dort werden sensible Daten wie Kreditkarteninformationen, Login-Daten oder persönliche Identifikationsmerkmale abgegriffen. Besonders gefährlich ist dies an Orten, an denen Zahlungen ohnehin erwartet werden, wie beispielsweise an E-Ladesäulen oder Parkscheinautomaten.
Drei essenzielle Vorsichtsmaßnahmen für den Alltag
Um sich vor diesen Angriffen zu schützen, empfiehlt sich eine bewusste Routine beim Umgang mit den grafischen Codes:
- Physische Überprüfung der Oberfläche: Bevor Sie einen Code scannen, sollten Sie kurz prüfen, ob es sich um einen nachträglich aufgebrachten Aufkleber handelt. Wenn die Haptik oder die Optik des Codes nicht zum restlichen Informationsmaterial passt, ist eine manuelle Eingabe der Webadresse über den Browser die sicherere Alternative.
- Plausibilität und Kontext hinterfragen: Cyberkriminelle setzen auf den Moment der Unaufmerksamkeit. Fragen Sie sich kritisch, ob die geforderten Informationen zum Kontext passen. Es gibt keinen legitimen Grund, warum die digitale Speisekarte eines Restaurants für den Zugriff eine Anmeldung mit Zugangsdaten oder die Angabe einer Kreditkartennummer verlangen sollte.
- Nutzung der Link-Vorschau: Moderne Smartphone-Kameras zeigen nach dem Erfassen des Codes eine Vorschau der Ziel-URL an. Nehmen Sie sich die zwei Sekunden Zeit, um diese Adresse zu prüfen. Achten Sie auf Buchstabendreher oder ungewöhnliche Domain-Endungen, die oft ein eindeutiges Indiz für Betrugsversuche sind.
In einer digitalisierten Welt geht Sicherheit vor Bequemlichkeit. Ein kurzer Moment der Skepsis kann bereits ausreichen, um den Diebstahl sensibler Daten zu verhindern.
Haben Sie in Ihrem beruflichen oder privaten Umfeld bereits Erfahrungen mit manipulierten QR-Codes gemacht oder setzen Sie in Ihrem Unternehmen bereits gezielte Awareness-Schulungen zu diesem Thema ein?
Wenn Ihre Antwort darauf nein ist können sie uns gerne für ein Beratungsgespräch zum Thema IT-Sicherheit kontaktieren.
