Phishing
Quishing, leider kein französisches Gebäck
Sicherheitsforscher warnen aktuell vor einer massiven Zunahme von Quishing-Kampagnen – also Phishing mittels bösartiger QR-Codes. Gerade weil das Scannen von QR-Codes mittlerweile alltäglich ist, sollten Sie unsere Ratschläge ernst nehmen.
Save to Folio
Quishing-Kampagnen – also Phishing mittels bösartiger QR-Codes, die die Nutzer scannen sollen – haben gerade Hochkonjunktur. Nachdem sich diese Angriffsmethode lange Zeit vor allem gegen Privatanwender richtete, scheinen nun zunehmend auch Unternehmen ins Visier zu geraten. Unter anderem versuchen Cyberkriminelle so, Zugangsdaten für Microsoft 365 zu phishen.
Obwohl es sich technisch grundsätzlich um gewöhnliche Phishing-Kampagnen handelt, bringt die Nutzung von QR-Codes einige Vorteile für die Angreifer mit sich:
- QR-Codes sind einfach zu erstellen und lassen Phishing-Mails professionell wirken.
- Sie machen es für User einfach, ans Ziel zu gelangen. Zudem gehört das Scannen von QR-Codes spätestens seit der Corona-Pandemie zu den eingeübten Handlungsweisen.
- Durch die Codierung im Bildformat erkennen Security-Lösungen bösartige URLs schwerer.
- Wenn Nutzer die Codes mit ihren (privaten) Smartphones scannen, werden die Angriffe auf ein Gerät verlagert, auf dem die Sicherheitssysteme des Unternehmens nicht oder nur bedingt greifen.
Sie sollten daher die Gefahr durch QR-Codes in Ihre Cybersecurity-Überlegungen miteinbeziehen. Schulen Sie Ihre Mitarbeiter. Zudem sollten QR-Codes auch in zukünftigen Phishing-Simulationen und Red Teamings eine Rolle spielen.
Multifaktor-Authentifizierung sollte heutzutage ohnehin selbstverständlich sein. Prüfen Sie außerdem, ob Ihre Mail-Security-Lösung auf dem aktuellen Stand ist und QR-Codes erkennen kann – und erweitern Sie diese gegebenenfalls. Im Ernstfall können zudem Detection & Response-Systeme das Schlimmste verhindern.
Schutz vor Quishing:
- Lassen Sie beim Scannen von QR-Codes Vorsicht walten! Verwenden Sie dafür die Standard-Kamera-App auf Ihrem Gerät. Prüfen Sie die in der Vorschau angezeigte URL und vergewissern Sie sich, dass die verlinkte Website vertrauenswürdig ist, bevor Sie Ihre persönlichen Daten angeben. Achten Sie dabei auch auf Rechtschreib- oder Tippfehler in der URL selbst.
- Überlegen Sie zweimal, bevor Sie QR-Codes in Mails scannen, selbst wenn diese von Organisationen oder Personen zu stammen scheinen, die Sie kennen – beispielsweise von Ihrer Bank oder Ihrem Arbeitgeber. Aktivieren Sie zudem die Multifaktor-Authentifizierung bei Ihren Bank-, Unternehmens- und anderen Konten, um unberechtigten Zugriff zu verhindern.
- Vermeiden Sie es zudem, QR-Codes in dienstlichen Mails mit ihrem privaten Smartphone zu scannen. Dies kann ein Weg für Cyberkriminelle sein, die Sicherheitssysteme Ihres Unternehmens zu umgehen.
- Besondere Vorsicht ist geboten, wenn Sie auf der aufgerufenen Website Ihre beruflichen Zugangsdaten eingeben sollen, beispielsweise für Microsoft 365.
Dieser Beitrag (wie auch schon frühere) ist zuerst im connect professional Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.