Quishing – Wenn QR-Codes zur Falle werden

Ob im Restaurant, auf Rechnungen oder Werbeplakaten: QR-Codes sind aus unserem Alltag kaum noch wegzudenken. Doch genau das macht sie auch für Cyberkriminelle interessant. Beim sogenannten Quishing (Kurzform von „QR-Code-Phishing“) werden manipulierte Codes genutzt, um Nutzerinnen und Nutzer auf gefälschte Webseiten zu leiten – mit dem Ziel, Logindaten zu stehlen, Schadsoftware zu installieren oder Zahlungen auszulösen. 

Was ist Quishing genau?

Ein QR-Code ist erstmal nur ein Bild. Beim Scannen wird daraus ein Link – und wohin der führt, ist auf den ersten Blick nicht erkennbar. Genau das nutzen Angreifer aus. Sie platzieren gefälschte Codes in Mails, auf gedruckten Briefen oder sogar als Aufkleber im öffentlichen Raum. Ziel ist immer das gleiche: Die Empfängerin oder der Empfänger soll vertrauensvoll scannen – und unbemerkt in die Falle tappen. 

Typische Szenarien: 

• Ein QR-Code auf einer gefälschten Paketbenachrichtigung 

• Eine Rechnung mit QR-Code zum herunterladen 

• Eine Terminvereinbarung per QR-Code 

• Eine Phishing-Mail mit QR-Code statt Link, um Filter zu umgehen 

Was können Sie tun? 

1. Halten Sie sich an die grundsätzlichen Hinweise zu den Themen Social Engineering und Phishing.

2. Scannen Sie nur QR-Codes aus vertrauenswürdigen Quellen. 

3. Achten Sie auf die Adresse, die nach dem Scannen erscheint – ist sie plausibel? 

4. Nutzen Sie, wenn möglich, Scanner-Apps, die vor dem Öffnen die URL anzeigen. 

5. Sensibilisieren Sie auch Ihre Mitarbeitenden: QR-Codes sind nicht nur Abkürzung, sondern auch ein Sicherheitsfaktor. 

Fazit:

Quishing ist eine moderne Variante des klassischen Phishings – und besonders heimtückisch, weil der Angriffsversuch nur schwer zu erkennen ist. Damit Sie sich und Ihr Unternehmen bestmöglich schützen, beraten wir Sie gerne kostenfrei mit einem DAB Orientierungsgespräch zur IT-Sicherheit.