Quishing Definition

März 1, 2023 | Lexikon

Definition Quishing

Was ist Quishing?

Quishing bezieht sich auf eine betrügerische Phishing-Methode, bei der QR-Codes genutzt werden, um Opfer auf gefälschte Websites zu locken. Durch die Verwendung von QR-Codes können Cyberkriminelle herkömmliche Schutzmechanismen wie sichere E-Mail-Gateways umgehen, die normalerweise bösartige Links und Anhänge prüfen. Diese Angriffe zielen darauf ab, vertrauliche Nutzerdaten zu stehlen oder Malware-Downloads zu verbreiten.

Quishing Angriff

So gehen die Cyberkriminellen vor

Cyberkriminelle nutzen beim Quishing ähnliche Methoden wie beim herkömmlichen Phishing. Sie senden E-Mails mit Betreffzeilen, die auf ein Sicherheitsproblem hinweisen, oder geben vor, dass Nutzer ein wichtiges Dokument erhalten, indem sie den QR-Code auf ihrem Smartphone scannen. Die Betrüger erzeugen einen Druck auf die Empfänger, schnell zu handeln. Sobald das Opfer den QR-Code scannt, wird es auf eine gefälschte Website weitergeleitet, ohne dass das Smartphone erkennt, dass es sich um eine betrügerische Seite handelt. Auf dieser gefälschten Seite können automatisch Malware im Hintergrund herunterladen werden oder die Opfer werden gedrängt ihre Login-Daten einzugeben, die dann direkt an die Cyberkriminellen weitergeleitet werden. Mit den gestohlenen Zugangsdaten können die Betrüger Einkäufe in Online-Shops im Namen des Opfers tätigen oder auf geschützte Firmennetzwerke zugreifen.

Achtung beim QR-Code Scannen - Definition Quishing

Quishing​ erkennen

Praktische Tipps um nicht Opfer von Quishing-Betrügereien zu werden

Für private Nutzer:

  1. Seien Sie vorsichtig und prüfen Sie sorgfältig, ob es sich bei der Mail um eine Fälschung handeln könnte. Hinweise sind unteranderem Rechtschreibfehler unbekannter oder falsche E-Mail Adressen des Absendes. Achten Sie darauf ob eine Null 0 durch ein O ersetzt wurde oder die Domain des Absenderes falsch ist. Kontrollieren Sie die Links ob diese zum Absender und dessen Domain passen und Ihnen vertraut und bekannt sind. Öffnen Sie bei verdächtigen Nachrichten keine Anhänge, klicken Sie auf keine Links und scannen Sie keine QR-Codes ein. Nehmen Sie ausschließlich nur Kontakt zu dem vermeintlichen Absender über offizielle Kanäle auf, um sich zu vergewissern, ob die Nachricht tatsächlich von ihm stammt.
  2. Nutzen Sie möglichst immer eine Multi-Faktor-Authentifizierung. Diese ist akutell noch ein wirksamer Schutz vor allen Formen des Phishings. Falls Sie doch einmal in die Falle gegangen sind und ein Krimineller Ihre Zugangsdaten ausgespäht hat, fehlt ihnen dann der zweite Faktor meist SMS oder Authenticator zum erfolgreichen Einloggen unter Ihrem Konto.
  3. Bei Verdacht sollten Sie Ihr Passwort sofort ändern. Generell sollen Sie niemals ein und das selbste Passwort für mehrere Accounts benutzen, denn hat der Kriminelle eins hat er alle!

Für Unternehmen gibt es noch zwei zusätzliche Tipps:

  1. Die Sicherheitsrichtlinie eines Unternehmens müssen zwingend auch mobile Endgeräte wie Smartphones einschließen. Ein Mobile Device Management (MDM) und klare Regeln für Bring Your Own Device werden immer unumgänglicher.
  2. Die beste Verteidigung gegen Quishing und andere Cyberattacken ist immernoch die kontinuierliche Weiterbildung aller Mitarbeiterinnen und Mitarbeiter. Denn nur wer sich der Gefahren bewusst ist und diese erkennen kann, kann entsprechend handeln und das Unternehmen schützen.
  3. Werbung: In unserem Produkt E-Mail Security 365 TPE und Email Total Protection werden Quishing-Attacken bereits automatisch erkannt und gefiltert. Somit wäre dies die optimale Unterstützung für Sie und Ihrer Mitarbeiter.