Quishing: Scannen kann gefährlich sein – Wie Cyberkriminelle QR-Codes für Datendiebstahl nutzen
QR-Codes sind praktisch, schnell und längst alltäglich, ob im Restaurant, bei digitaler Außenwerbung oder auf einem Flyer. Doch was viele nicht wissen: Hinter dem scheinbar harmlosen Quadratmuster kann sich eine neue Betrugsmasche verbergen. „Quishing“ nennt sich die Methode, bei der Cyberkriminelle QR-Codes manipulieren, um an persönliche Daten zu gelangen oder Schadsoftware einzuschleusen. Wie das genau funktioniert und welche Schutz-Maßnahmen helfen, weiß Alina Gedde, Digitalexpertin bei ERGO.
Was ist Quishing?
Phishing E-Mails oder gefälschte Nachrichten, die vermeintlich von der Bank stammen, sind den meisten Menschen inzwischen ein Begriff. Aber: „Seit einiger Zeit kursiert eine neue Betrugsmasche, das sogenannte Quishing“, weiß Alina Gedde, Digitalexpertin bei ERGO. Dabei verwenden Cyberkriminelle gefälschte oder manipulierte QR-Codes, um an sensible, persönliche Daten zu gelangen oder Schadsoftware zu verbreiten. Der Begriff ist ein Kofferwort aus „QR“ (Quick Response Code) und „Phishing“ und beschreibt somit eine Form des Phishing-Angriffs über QR-Codes. „Das perfide am Quishing ist, dass im Gegensatz zu schädlichen Links wie in einer E-Mail, QR-Codes nicht automatisch von Antivirensoftware geprüft werden können“, so die ERGO Expertin.
Wie Quishing funktioniert – und warum es so gefährlich ist
Quishing beginnt immer mit einem scheinbar harmlosen QR-Code. Betrüger platzieren ihn auf Plakaten, in E-Mails, in Briefen oder an öffentlichen Orten. „Wer den Code scannt, gelangt nicht auf eine seriöse Webseite, sondern auf eine täuschend echt gestaltete Fälschung. Dort fordert die Seite zum Eingeben von Passwörtern, Zahlungsinformationen oder persönlichen Angaben auf“, erklärt die Digitalexpertin. „In manchen Fällen startet nach dem Scan sogar sofort ein schädlicher Download, der das Smartphone infiziert.“ Besonders begehrt sind Zugangsdaten zum Online-Banking oder zu E-Mail-Konten, Kreditkarteninformationen, Bankverbindungen oder persönliche Daten wie Name, Adresse, Geburtsdatum oder Telefonnummer. „Gefälschte QR-Codes versprechen zum Beispiel den Zugang zu einer Paketverfolgung, das Abhören einer Sprachnachricht oder schnelles Bezahlen, etwa an einem Parkautomaten“, führt die Expertin aus.
Quishing erkennen
Unerwartete QR-Codes auf Aufklebern, Zetteln oder Plakaten, besonders an ungewöhnlichen Orten oder über bereits vorhandene Codes geklebt, sollten sofort misstrauisch machen. „Auch E-Mails oder SMS mit QR-Codes, die einen fragwürdigen Absender haben oder dringendes Handeln verlangen, gehören zu den typischen Warnzeichen“, erklärt Alina Gedde. Nach dem Scan sind eine fehlende HTTPS-Verschlüsselung oder eine ungewöhnliche Internetadresse mit Tippfehlern oder unbekannten Domains Indizien für einen Betrug. Spätestens dann, wenn eine Webseite direkt nach Passwörtern, Zahlungsinformationen oder persönlichen Daten fragt, besteht akute Gefahr.
Sensible Daten schützen
Am sichersten bleibt der Scan von QR-Codes aus vertrauenswürdigen Quellen wie offiziellen Webseiten oder bekannten Unternehmen. „Viele Scanner bieten eine Vorschau der Zieladresse an. Sieht sie ungewöhnlich aus, sollten Betroffene vorsichtig sein“, so die Digitalexpertin. Vor jeder Eingabe lohnt sich ein genauer Blick auf die Adresse im Browser: Nur eine korrekte Domain mit HTTPS-Verschlüsselung ist vertrauenswürdig. Persönliche Daten wie Logins oder Zahlungsangaben gehören niemals auf Seiten, bei denen Zweifel bestehen. „Wer zusätzlich aktuelle Sicherheitssoftware auf dem Smartphone nutzt und wichtige Webseiten lieber manuell eingibt, reduziert das Risiko deutlich“, rät Alina Gedde.
Richtig reagieren im Verdachtsfall
Taucht beim Scannen ein ungutes Gefühl auf, gilt sofort: stoppen und keine Daten mehr eingeben. „Wer bereits sensible Informationen preisgegeben hat, sollte unverzüglich Passwörter ändern und die Bank oder den betroffenen Dienst informieren. Auch eine Meldung bei Polizei oder Verbraucherzentrale bietet Schutz vor weiterem Schaden“, sagt die Expertin. Im Anschluss lohnt sich ein gründlicher Check des Smartphones, um Schadsoftware oder unerwünschte Apps zu finden und zu entfernen.
Anzahl der Anschläge (inkl. Leerzeichen): 4.822
Über ERGO Group AG
ERGO ist eine der führenden internationalen Versicherungsgruppen und weltweit in über 20 Ländern vertreten. Das Unternehmen bietet seinen Privat- und Firmenkunden ein breites Produktportfolio in allen wesentlichen Versicherungssparten sowie vollumfängliche Assistance- und Serviceleistungen. Unter dem Dach der ERGO Group AG steuern mit der ERGO Deutschland AG, ERGO International AG und ERGO Technology & Services Management AG drei Einheiten die Geschäfte und Aktivitäten der ERGO Group. In diesen sind jeweils das deutsche und internationale Geschäft sowie die globale Steuerung von IT und Technologie-Dienstleistungen gebündelt. Rund 37 000 Menschen arbeiten als angestellte Mitarbeiter oder selbstständige Vermittler für die Gruppe. Im Geschäftsjahr 2024 erzielte ERGO einen Versicherungsumsatz von 20,8 Milliarden Euro und ein Ergebnis von 810 Millionen Euro. ERGO gehört zu Munich Re, einem der weltweit führenden Rückversicherer und Risikoträger. Mehr unter www.ergo.com
Firmenkontakt
ERGO Group AG
Bärbel Naberbäumer Fernandes
ERGO-Platz 1
40198 Düsseldorf
0211 477-8249
http://www.ergo.com/verbraucher
Pressekontakt
comcepta GmbH
Sigrid Eck
Hansastraße 17
80686 München
089 99846133
http://www.comcepta.de
- Digital (Wikipedia)
Digital oder digital (von lateinisch digitus „Finger“) steht für: nicht analoges, diskretes oder abgestuftes Signal, siehe Digitalsignal Digitalanzeige kurz für Digital Equipment Corporation, ehemaliges US-amerikanisches Unternehmen Siehe auch: digitale Daten digitale Information Digitaltechnik (Signale, Schaltungen) Digitalisierung (Begriffsklärung) Digitalis (Begriffsklärung) Digit (Begriffsklärung) Liste aller Wikipedia-Artikel, deren Titel mit digital beginnt Liste aller Wikipedia-Artikel, deren Titel digital enthält - Ergo (Wikipedia)
Ergo steht für: ergo, lateinisch für „also, entsprechend, demnach“ (bspw.: Cogito ergo sum) Ergo Group, deutsche Versicherungsgruppe Ergo Arena, Multifunktionshalle in den polnischen Städten Danzig und Sopot ergo, Name einer Bluesband aus der DDR, siehe Waldemar Weiz #Ergo Personen: Linde Ergo (* 1966), belgische Bildhauerin Siehe auch: Liste aller Wikipedia-Artikel, deren Titel mit Ergo beginnt Liste aller Wikipedia-Artikel, deren Titel Ergo enthält - Quishing (Wikipedia)
Unter dem Begriff Phishing (Neologismus und Kompositum von „fishing“, engl. für „angeln“ und „phreaking“ für „hacken“) versteht man Täuschungsversuche, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben. Ziel des Betrugs ist es, z. B. an persönliche Daten eines Internet-Benutzers zu gelangen, etwa ihn zur Ausführung einer schädlichen Aktion wie das Einloggen in einen gefälschten / nachgebauten Webauftritt zu bewegen, um die Zugangsdaten wie das Passwort und den Benutzernamen und gegebenenfalls auch einen 2. Faktor für die 2-Faktor-Identifizierung zu erschleichen. In der Folge werden dann beispielsweise Kontoplünderungen begangen, Bestellungen mit der Unterschlagung von Konsumgütern und der Verkauf dieser an Dritte getätigt, ein weitergehender Identitätsdiebstahl begangen oder eine Schadsoftware installiert. Es handelt sich dabei um eine Form des Social Engineering, bei dem die Gutgläubigkeit des Opfers ausgenutzt wird. Das englische Kunstwort verbildlicht das Angeln nach Passwörtern mit Ködern. Die Schreibweise mit Ph- entstammt dem Hacker-Jargon (vgl. auch Phreaking). Typisch ist dabei die Nachahmung des Internetauftritts einer vertrauenswürdigen Stelle, etwa der Internetseite einer Bank. Um keinen Verdacht zu erregen, wird das Corporate Design der betroffenen Stelle nachgeahmt, so werden etwa dieselben Firmenlogos, Schriftarten und Layouts verwendet. Der Benutzer wird dann auf einer solchen gefälschten Seite etwa dazu aufgefordert, in ein Formular die Anmelde-Daten oder auch Transaktionsnummern für sein Onlinebanking einzugeben. Diese Daten werden dann an den Betrüger weitergeleitet und dazu missbraucht, das Konto zu plündern. Phishing-Nachrichten werden meist per E-Mail oder Instant-Messaging versandt und fordern den Empfänger auf, auf einer präparierten Webseite oder am Telefon geheime Zugangsdaten preiszugeben. Versuche, der wachsenden Anzahl an Phishing-Versuchen Herr zu werden, setzen unter anderem auf geänderte Rechtsprechung, Anwendertraining und technische Hilfsmittel. Der erste dokumentierte Phishing-Versuch fand am 2. Januar 1996 in der …
