Quishing – Definition, Angriffsmethoden und Schutzmaßnahmen

März 1, 2023 | Lexikon

Quishing ist eine wachsende Bedrohung, die gezielt auf die Schwächen mobiler Nutzergewohnheiten abzielt. Unternehmen und Privatpersonen sollten sich der Risiken bewusst sein und geeignete Schutzmaßnahmen ergreifen – sowohl technisch als auch durch Aufklärung.

Was ist Quishing?

Definition Quishing

Quishing ist eine spezielle Form des Phishings, bei der QR-Codes als Angriffsmittel eingesetzt werden. Ziel ist es, Nutzer über scheinbar harmlose QR-Codes auf gefälschte Websites zu leiten, um dort Zugangsdaten zu stehlen oder Malware zu verbreiten.

Da QR-Codes visuell eingebettet sind, umgehen sie häufig klassische Sicherheitsmechanismen wie E-Mail-Gateways, die bösartige Links oder Anhänge erkennen würden.

Wie funktioniert ein Quishing-Angriff?

So gehen die Cyberkriminellen vor

Cyberkriminelle nutzen beim Quishing ähnliche Taktiken wie beim klassischen Phishing – mit einem entscheidenden Unterschied: Statt auf Links oder Anhänge setzen sie auf QR-Codes, die mit dem Smartphone gescannt werden.

Typischer Ablauf:

  1. Täuschende E-Mail
    Betreffzeilen wie „Sicherheitswarnung“ oder „Dokument zur Freigabe“ erzeugen Handlungsdruck.
  2. QR-Code als Köder
    Der QR-Code führt auf eine gefälschte Website, die täuschend echt aussieht.
  3. Datendiebstahl oder Malware
    • Opfer geben Login-Daten ein → direkte Weiterleitung an Angreifer
    • Im Hintergrund wird Schadsoftware heruntergeladen
  4. Missbrauch der Daten
    • Einkäufe im Namen des Opfers
    • Zugriff auf Unternehmensnetzwerke
    • Identitätsdiebstahl
Achtung beim QR-Code Scannen - Definition Quishing

Quishing​ erkennen

Praktische Tipps um nicht Opfer von Quishing-Betrügereien zu werden

Quishing erkennen: Tipps für Privatpersonen

  1. Seien Sie vorsichtig und prüfen Sie sorgfältig, ob es sich bei der Mail um eine Fälschung handeln könnte. Hinweise sind unteranderem Rechtschreibfehler unbekannter oder falsche E-Mail Adressen des Absendes. Achten Sie darauf ob eine Null 0 durch ein O ersetzt wurde oder die Domain des Absenderes falsch ist. Kontrollieren Sie die Links ob diese zum Absender und dessen Domain passen und Ihnen vertraut und bekannt sind. Öffnen Sie bei verdächtigen Nachrichten keine Anhänge, klicken Sie auf keine Links und scannen Sie keine QR-Codes ein. Nehmen Sie ausschließlich nur Kontakt zu dem vermeintlichen Absender über offizielle Kanäle auf, um sich zu vergewissern, ob die Nachricht tatsächlich von ihm stammt.
  2. Nutzen Sie möglichst immer eine Multi-Faktor-Authentifizierung. Diese ist akutell noch ein wirksamer Schutz vor allen Formen des Phishings. Falls Sie doch einmal in die Falle gegangen sind und ein Krimineller Ihre Zugangsdaten ausgespäht hat, fehlt ihnen dann der zweite Faktor meist SMS oder Authenticator zum erfolgreichen Einloggen unter Ihrem Konto.
  3. Bei Verdacht sollten Sie Ihr Passwort sofort ändern. Generell sollen Sie niemals ein und das selbste Passwort für mehrere Accounts benutzen, denn hat der Kriminelle eins hat er alle!

Quishing-Schutz für Unternehmen

  1. Die Sicherheitsrichtlinie eines Unternehmens müssen zwingend auch mobile Endgeräte wie Smartphones einschließen. Ein Mobile Device Management (MDM) und klare Regeln für Bring Your Own Device werden immer unumgänglicher.
  2. Die beste Verteidigung gegen Quishing und andere Cyberattacken ist immernoch die kontinuierliche Weiterbildung aller Mitarbeiterinnen und Mitarbeiter. Denn nur wer sich der Gefahren bewusst ist und diese erkennen kann, kann entsprechend handeln und das Unternehmen schützen.
  3. Moderne E-Mail-Security-Lösungen wie E-Mail Security 365 TPE oder Email Total Protection erkennen und blockieren Quishing-Angriffe automatisch. Somit wäre dies die optimale Unterstützung für Sie und Ihrer Mitarbeiter.