Neue Cyber-Betrugsmasche: Quishing

Informationssicherheit und Schutz vor Cyberkriminellen sollte zum Alltag in den Kommunen gehören. Die besondere Herausforderung besteht jedoch darin, mit den Kriminellen „Schritt zu halten“. Mit Quishing ist jetzt eine neue Form von Cyberbetrug aufgetaucht, die auch digitale Angebote der Kommunen ins Visier nimmt.

Der Begriff Quishing setzt sich aus "QR" (Quick Response) und "Phishing" zusammen.

Angreifer versuchen, Benutzer dazu zu bringen, auf einen schädlichen QR-Code zu scannen, der sie auf gefälschte Websites oder in gefährliche Anwendungen leitet. Besonders perfide ist dies, da viele Menschen QR-Codes wie selbstverständlich in ihrem Alltag nutzen und fast nicht mehr darüber nachdenken, ehe sie den Code scannen.

So funktionieren beispielsweise Park-Apps, bei denen die Bürger das Parkentgelt mittels eines QR-Codes entrichten können. Hier haben jetzt Cyberkriminelle mit relativ geringem Aufwand eine Chance, an sensible Bezahldaten zu gelangen. Sie überkleben einfach die korrekten QR-Codes an den Parkautomaten mit gefälschten und locken so die Bürger auf ihre gefälschten Websites. Dort greifen sie dann die Daten ab und können sich so Zugang zu den Konten der arglosen Bürger verschaffen.

Dass dies kein realitätsfremdes Szenario ist, zeigt der folgende Bericht Bericht in der ARD-Mediathek vom 20.11.2024.

Ab Minute 26:33 startet der Bericht zum Quishing, ab Minute 30:00 geht es um den konkreten Fall in Landau. Dort berichtet eine Mitarbeiterin des Ordnungsamtes wie sie die gefälschten QR-Codes bei einem ihrer Kontrollgänge entdeckte und nun immer ganz genau bei den Parkautomaten hinschaut.

Hier sind noch einmal einige wichtige Punkte zu Quishing zusammengefasst:

  • Wie funktioniert Quishing?

    Angreifer erstellen gefälschte QR-Codes, die legitime Links imitieren oder auf schädliche Websites verweisen. Wenn ein Benutzer den QR-Code scannt, wird er möglicherweise aufgefordert, persönliche Informationen einzugeben, oder er wird auf eine Website geleitet, die Malware installiert.

  • Wie verbreitet sich Quishing? 

    Quishing kann in verschiedenen Kontexten auftreten, z. B. in sozialen Medien, E-Mails oder sogar auf physischen Flyern und Plakaten. Oft werden QR-Codes in Marketingmaterialien verwendet, was sie zu einem attraktiven Ziel für Betrüger macht. Besonders wichtig für Kommunen: QR-Codes, die zu Bezahl-Apps z.B. für Parkplätze führen.

  • Welche Risiken bestehen?

    Die Risiken von Quishing sind ähnlich wie bei traditionellem Phishing. Benutzer können ihre persönlichen Daten, Bankinformationen oder Anmeldedaten verlieren. Betrüger können diese Daten dann für weitere kriminelle Handlungen nutzen wie beispielsweise Identitätsdiebstahl oder Zugriff auf Bankkonten erlangen. Darüber hinaus kann das Scannen eines schädlichen QR-Codes dazu führen, dass Malware auf dem Gerät des Benutzers installiert wird, was zu weitergehenden Schäden führen kann.

  • Wie kann ich mich schützen?

    Um sich vor Quishing zu schützen, sollten Benutzer vorsichtig sein, bevor sie QR-Codes scannen. Es ist ratsam, QR-Codes nur aus vertrauenswürdigen Quellen zu scannen und die URL zu überprüfen, bevor man persönliche Informationen eingibt. Sicherheitssoftware kann ebenfalls helfen, potenzielle Bedrohungen zu erkennen. So gibt es QR-Code-Scanner-Apps, die beispielsweise  die URL auf bekannte Sicherheitsbedrohungen überprüfen, bevor sie geöffnet wird.

  • Wie kann ich Mitarbeiter sensibilisieren?

    Da Quishing eine relativ neue Bedrohung ist, ist es wichtig, das Bewusstsein für diese Art von Betrug zu schärfen. Schulungen und Informationskampagnen können dazu beitragen, Benutzer über die Risiken und Schutzmaßnahmen aufzuklären. Kommunen, die QR-Codes im öffentlichen Raum benutzen, sollten diese regelmäßig überprüfen (lassen).

  • Und wir Digital-Lotsen?

    Auch wir benutzen regelmäßig QR-Codes, um beispielsweise bei Veranstaltungen auf bestimmte Informationsangebote hinzuweisen. Auch für uns ergibt sich damit eine neue Aufgabe. Wir müssen noch sorgfältiger darüber nachdenken, über welche Wege wir diese QR-Codes verbreiten und wie wir sicherstellen, dass die Codes nicht kompromittiert werden können.

Falls Sie sich schon mit dem Thema Quishing beschäftigt oder vielleicht sogar schon – ähnlich wie in Landau – gefälschte QR-Codes entdeckt haben, melden Sie sich gern bei uns. Ihre Erfahrungen helfen anderen!