QR-Codes und Phishing: Quishing-Angriffe

B2B Cyber Security ShortNews

Beitrag teilen

Wie Cyberkriminelle QR-Codes für Phishing missbrauchen. Der Einsatz von Technologie entwickelt sich ständig weiter, um privates und berufliches Leben bequemer zu gestalten, wie sich am Quick-Response-Code zeigt.

Mit diesem zweidimensionalen Strichcode können Benutzer beispielsweise schnell und einfach Website-URLs und Kontaktinformationen weitergeben oder Zahlungen vornehmen. Jedoch hat diese Technologie auch neue Möglichkeiten für Cyberkriminelle eröffnet. QR-Code-Phishing-Angriffe, auch als Quishing bekannt, sind auf dem Vormarsch und stellen eine erhebliche Bedrohung für Benutzer und Unternehmen gleichermaßen dar.

Anzeige

QR-Codes für E-Mail-Angriffe

Hacker verwenden QR-Codes in E-Mail-Angriffen, um Empfänger dazu zu verleiten, bösartige Websites zu besuchen oder Malware auf ihre Geräte herunterzuladen. Diese Angriffe beinhalten in der Regel Social-Engineering-Taktiken, die darauf abzielen, das Vertrauen auszunutzen, das Menschen häufig in E-Mails vermeintlich vertrauter Absender setzen.

Angreifer betten beispielsweise QR-Codes in Phishing-E-Mails ein und fordern die Benutzer auf, den Code zu scannen und eine gefälschte Seite zu besuchen, die scheinbar zu einem vertrauenswürdigen Dienst oder bekannten Anwendung führt. Die Opfer werden in der Regel dazu verleitet, ihre Anmeldedaten einzugeben, die dann vom Angreifer abgefangen werden. Gefälschte QR-Codes können auch zu Umfragen oder Formularen führen, die persönliche Daten wie Name, Adresse oder andere sensible Informationen abfragen. Die Opfer werden dabei eventuell mit angeblichen Belohnungen, Preisen oder sogar einer kleinen Zahlung gelockt. Ebenso können QR-Codes die Opfer mit bösartigen Websites verbinden, die beim Scannen automatisch Malware auf das Gerät des Opfers herunterladen. Diese Malware kann von Spyware bis hin zu Ransomware reichen und ermöglicht es Angreifern, Daten zu stehlen oder die Kontrolle über ein Gerät zu übernehmen.

Schutz vor Quishing-Angriffen

QR-Code-Angriffe sind mit herkömmlichen E-Mail-Filtermethoden schwer zu erkennen. Es gibt weder einen eingebetteten Link, noch einen bösartigen Anhang, der gescannt werden kann. E-Mail-Filter sind nicht darauf ausgelegt, einen QR-Code bis zu seinem Ziel zu verfolgen und auf bösartige Inhalte zu prüfen. Außerdem wird die eigentliche Bedrohung auf ein anderes Gerät verlagert, das möglicherweise nicht durch die Sicherheitssoftware des Unternehmens geschützt ist.

Der Einsatz von KI und Bilderkennungstechnologie ist eine der Möglichkeiten, diese QR-Code-Angriffe zu erkennen. Ein gefälschter QR-Code ist in der Regel nicht das einzige Anzeichen für eine bösartige E-Mail. Die KI-basierte Erkennung berücksichtigt auch andere Signale wie Absender, Inhalt, Bildgröße und Platzierung um die böswillige Absicht zu bestimmen. Sicherheitstechnologien zur Impersonation Protection nutzen diese und andere Techniken, um QR-Code-Angriffe zu entdecken und zu blockieren.

Wenn QR-Code-Angriffe noch nicht Teil des Sicherheitstrainings sind, sollte Unternehmen das Thema in ihre Schulungen aufnehmen, um Benutzer über die Taktiken der Angreifer aufzuklären. User sollten stets Vorsicht walten lassen, wenn sie QR-Codes scannen, die per E-Mail oder auf anderem Wege übermittelt werden.

Mehr bei Barracuda.com

 


Über Barracuda Networks

Barracuda ist bestrebt, die Welt zu einem sichereren Ort zu machen und überzeugt davon, dass jedes Unternehmen Zugang zu Cloud-fähigen, unternehmensweiten Sicherheitslösungen haben sollte, die einfach zu erwerben, zu implementieren und zu nutzen sind. Barracuda schützt E-Mails, Netzwerke, Daten und Anwendungen mit innovativen Lösungen, die im Zuge der Customer Journey wachsen und sich anpassen. Mehr als 150.000 Unternehmen weltweit vertrauen Barracuda, damit diese sich auf ein Wachstum ihres Geschäfts konzentrieren können. Für weitere Informationen besuchen Sie www.barracuda.com.


 

Passende Artikel zum Thema

Leitfaden zur KI-Verordnung

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Zwei Drittel der Unternehmen brauchen Hilfe bei der Umsetzung der KI-Verordnung ➡ Weiterlesen

Bring your own KI

In jedem dritten Unternehmen werden private KI-Zugänge genutzt. Auf der anderen Seite hat bisher nur jedes siebte Unternehmen Regeln zum ➡ Weiterlesen

Datensicherheit: Backup-Strategie ist das Rückgrat

Als Folge des fehlerhaften CrowdStrike Updates im Sommer diesen Jahres kam es bei fast jedem zweiten betroffenen Unternehmen in Deutschland ➡ Weiterlesen

Studie: Digitale Mitarbeitererfahrung verbessert die Cybersicherheit

Neun von zehn Führungskräften sind überzeugt, dass ihr Unternehmen gewinnt, wenn sie digitale Mitarbeitererfahung priorisieren, so die Ergebnisse einer Umfrage. ➡ Weiterlesen

Patchday bei SAP

SAP hat mehrere Patches veröffentlicht, die insgesamt acht Schwachstellen betreffen. Eine davon ist als schwerwiegend eingestuft. Am schwersten wiegt eine ➡ Weiterlesen

Disaster-Recovery-Ereignisse bei Microsoft 365

Ein globales Softwareunternehmen, das IT-Dienstleister bei der Bereitstellung von Fernüberwachung und -verwaltung, Datenschutz als Service und Sicherheitslösungen unterstützt, hat den ➡ Weiterlesen

Quishing: Phishing mit QR-Codes

In Anlehnung an Albert Einstein ließe sich wohl sagen, dass der kriminelle Einfallsreichtum der Menschen unendlich ist. Der neueste Trend ➡ Weiterlesen

KI-Sicherheitsmemorandum in den USA

Die KI-Sicherheit steht an einem Wendepunkt. Das erste National Security Memorandum (NSM) für künstliche Intelligenz markiert einen wichtigen Meilenstein – ➡ Weiterlesen