Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Quishing – Die gefährlichen QR-Codes der Betrüger

Tobias Neugebauer

Die Coronapandemie ist eine wahre Goldgrube für Betrüger und Phisher: Testzentren verschicken Testergebnisse und Registrierungsanfragen per E-Mail, Termine für Impfungen werden online bestätigt, Nachverfolgungen online ausgefüllt. Hierbei hat sich eine neue Betrugsmasche entwickelt – Das Quishen, Phishing über QR-Codes. Warum ist diese Methode entstanden und wie beliebt ist sie?

Wie funktioniert Quishing?

Beim Quishen wird ein QR-Code generiert, der einen bösartigen Link enthält. Dieser Link kann zusätzlich noch mit einem URL-Shortener verschleiert werden. Die Methoden zur Verschleierung unterscheiden sich hier nicht vom klassischen Phishing über E-Mails. Im Gegensatz zu diesem wird aber der QR-Code meist analog gedruckt, denn ein Versenden per E-Mail oder an Handys ist nicht sonderlich plausibel.

Hieraus ergibt sich ein großer Nachteil von Quishing zu Phishing: Die Anzahl der potenziellen Opfer ist deutlich kleiner. Betrachtet man den Aufwand des Druckens und Verteilens der Codes mit der erreichten Personenanzahl, dann schlägt hier das Phishing das Quishing um Längen.

Kriminelle werden jedoch nicht daran gehindert, diese Aufwände in Kauf zu nehmen. In den Staaten (Texas) wurden manipulierte QR-Codes an Parkstation entdeckt. Die Webseite verlinkt auf eine Seite, die nicht von offizieller Quelle stammt. Ob dabei ein bestehender QR-Code überklebt worden ist oder die Funktionalität durch Kriminelle vorgetäuscht worden ist, geht aus der offiziellen Stellungnahme nicht hervor.

Wir haben uns an QR-Codes gewöhnt

Der digitale Impfpass, die Kontaktnachverfolgung, Check-Ins – QR-Codes sind durch die Coronapandemie deutlicher denn je in unser Leben getreten. Dass man sich für einen Restaurantbesuch registrieren muss ist, je nach aktueller Coronalage, nichts ungewöhnliches mehr. Selbst in der aktuellen Lage, in der eine Registrierung für einen Restaurantbesuch nicht mehr nötig ist, sind die meisten an QR-Codes und deren Funktionsweise gewöhnt.

Wird der QR-Code an einem plausiblen Ort und in einem logischen Kontext platziert, so wirkt er seriös und vertrauenswürdiger als eine E-Mail. Diese Vorteile sind der Grund für das Entstehen und die Nutzung von Quishing unter Betrügern. Es ist mit einer geringeren Anzahl an Opfern zu rechnen, die Höhe des Schadens ist jedoch unvorhersehbar und vom Kontext abhängig.


Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


Der Schutz vor Quishing

Ein Kernelement beim Schutz vor Quishing bildet der verwendete QR-Code-Scanner. Viele Apps zeigen eine Vorschau des eingebetteten Codes an:

  • Apple hat dies auch in seinem von Haus aus ausgeliefertem QR-Code-Scanner eingebaut.
  • Für Android-Geräte gibt es verschiedene Umsetzungen. Je nach Handymarke ist ein Scanner in der Kamera-App integriert oder muss im Play Store heruntergeladen werden.  

Wir empfehlen dringend, bei der Installation eines QR-Code-Scanners auf die Vorschaufunktion zu achten. Da sich Quishing hauptsächlich durch das Kommunikationsmedium unterscheidet, aber das gleiche Ziel wie Phishing verfolgt, kann dieser Aspekt durch neue Trainingsmethoden wie die Durchführung einer Phishing Simulation erfasst und trainiert werden. Hier ist es denkbar, dass Codes im zu untersuchenden Unternehmen als Flyer verteilt werden, in Räumen oder anderen sinnvollen Orten platziert werden. 

Die Forschenden Sharevski et. al. von der DePaul University in den USA haben mit „Gone Quishing: A Field Study of Phishing with Malicious QR Codes“ ein interessantes Paper zu dieser Thematik veröffentlicht. Es kann kostenfrei unter arxiv eingesehen werden.


Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.


Foto des Autors

Tobias Neugebauer

Mein Name ist Tobias Neugebauer. Im Rahmen meines Studiums der IT-Sicherheit an der Ruhr-Universität Bochum habe ich meine Bachelorarbeit im Bereich Phishing bei der AWARE7 abgeschlossen. Aktuell studiere ich IT-Sicherheit im Master.