Schutz vor Quishing-Angriffen
Quishing steht für QR-Code-basiertes Phishing. Das BACS sieht diese Angriffsmethode auf dem Vormarsch und gibt Tipps zur effizienten Abwehr.
Längst sind QR-Codes praktisch überall zu finden. Schnell scannen und schon kann zum Beispiel die Speisekarte im Restaurant aufgerufen und anschliessend die Rechnung bezahlt werden. Doch Vorsicht: Auch QR-Codes können gefälscht werden, warnt das Bundesamt für Cybersicherheit (BACS) und gibt folgende Hinweise für einen adäquaten Schutz:
Inzwischen kennen wir alle das Raster aus schwarz-weissen Quadraten: Der QR-Code, der einem rasch auf einen beliebigen Link führt. QR-Codes führen auf Websites, auf, App-Listen, Kartenadressen usw., auch Rechnungen sind rasch bezahlt.
Genau dies nutzen Betrüger aus und versuchen hier, ihre Opfer zu überlisten. Denn QR-Codes können genauso leicht auf betrügerische Websites verweisen wie auf echte, und Sie wissen nicht unbedingt, um welche es sich handelt, bevor Sie die Website besuchen.
Infektionswege
Wenn Sie einen QR-Code scannen, wird in der Regel eine URL angezeigt, der Sie dann folgen können, aber es ist selten auf den ersten Blick klar, wie sicher diese Website-Adresse ist. Einen QR-Code zu erstellen, ist nicht kompliziert und rasch gemacht. Betrüger können einen QR-Code beliebig einsetzen, beispielsweise in einer gefälschten E-Mail eines Hotels, in einer Fake-Online-Werbung auf sozialen Medien oder in Spam-Mails.
Betrüger erdreisten sich aber auch, QR-Codes physisch zu fälschen, indem sie diese beispielsweise auf Parkuhren oder Plakaten einfach überkleben. Dem BACS wurden schon verschiedene Fälle gemeldet, bei denen die Bezahlung von Parkgebühren bei den Betrügern gelandet ist. Auch überklebte QR-Codes in Restaurants wurden dem BACS bereits gemeldet. In diesem Fall ging der Link auf eine angebliche WLAN-Anmeldung. Daraufhin erschien eine Webseite auf welcher man seine Daten angeben musste. Mit der Übermittlung dieser Daten würde dann statt eines WLAN-Zugangs ein ungewolltes Abonnement abgeschlossen.
Das Ziel der Betrüger ist immer dasselbe: Potenzielle Opfer sollen dazu gebracht werden, etwas herunterzuladen, das die Sicherheit ihrer Konten oder Geräte gefährdet, oder sie sollen dazu gebracht werden, Anmeldedaten einzugeben, die dann direkt an die Hacker weitergeleitet werden (höchstwahrscheinlich über eine gefälschte Website, die so eingerichtet ist, dass sie echt und vertrauenswürdig aussieht).
6 Empfehlungen des BACS
1. Verwenden Sie zum Scannen von QR-Codes eine zuverlässige und als sicher anerkannte Anwendung (App). Der Vorteil dabei ist, dass Ihr Gerät Sie auffordert, die Aktion zu bestätigen, bevor der im QR enthaltene Code ausgeführt wird. Sowohl bei Apple als auch bei Android kann auch die Kamera QR-Codes erkennen.
2. Nach dem Scannen und vor dem Ausführen wird bei den meisten Scannern eingeblendet, was für eine Aktion ausgeführt wird, respektive auf welche Seite verlinkt wird. Überprüfen Sie diese Angaben.
3. Geben Sie niemals Anmeldeinformationen auf einer Website ein, auf die Sie über einen QR-Code zugegriffen haben.
4. Bevor Sie einen physischen, öffentlichen QR-Code scannen, betrachten oder berühren Sie ihn, um zu sehen, ob es sich nicht um einen Aufkleber handelt, der auf dem Original angebracht ist.
5. Wenn Sie einen QR-Code scannen, der etwas Bösartiges enthält, benachrichtigen Sie sofort den Besitzer des Ortes (Zeitschrift, Website, usw.), an dem Sie ihn entdeckt haben.
6. Betrüger versuchen in der Regel, ein Gefühl der Dringlichkeit zu suggerieren: «Scannen Sie diesen QR-Code, um Ihre Identität zu überprüfen, die Löschung Ihres Kontos zu verhindern oder ein zeitlich begrenztes Angebot zu nutzen». Lassen Sie sich nicht unter Druck setzten. Nehmen Sie sich Zeit die Geschichte zu überprüfen.