Ob im Restaurant, während der Bahnfahrt oder im Museum – QR-Codes sind aus unserem Alltag kaum noch wegzudenken. Doch das unbedachte Scannen birgt Risiken: Das sogenannte “Quishing” ist eine hinterhältige Form des Phishings, bei der Cyberkriminelle QR-Codes nutzen, um an persönliche Daten zu gelangen.Auf Produktverpackungen, anstelle von Speisekarten oder als digitales Ticket: QR-Codes sind äußerst praktisch. Die kleinen Quadrate enthalten Daten wie URLs, Produktinformationen oder Kontaktdaten. Ihr großer Vorteil liegt in der einfachen Handhabung: Anstatt mühsam eine lange Webadresse einzugeben, scannt man den Code und wird direkt zur gewünschten Website oder zu den passenden Inhalten weitergeleitet.QR-Codes – eine echte Erfolgsstory?
Während der Corona-Pandemie erlebten QR-Codes als kontaktlose Lösung einen regelrechten Boom und sind seitdem fester Bestandteil unseres Alltags. Dabei gibt es QR-Codes schon seit fast 30 Jahren: Ursprünglich wurden sie 1994 von einem japanischen Autohersteller entwickelt, um die Produktion effizienter zu gestalten.Diese Effizienz hat QR-Codes zu allgegenwärtigen Hilfsmitteln gemacht – und viele Menschen vertrauen ihnen blind. Ein gutes Beispiel: Die Coinbase-Werbung beim Super Bowl 2022 in den USA: Ein hüpfender QR-Code verleitete Millionen von Zuschauern dazu, ihn zu scannen und die dazugehörige App für Krypto-Trading herunterzuladen. Sicherheitsexperten sahen diese Aktion jedoch kritisch, da genau dieses Vertrauen von Kriminellen ausgenutzt wird. So sind Fälle von Krypto-Betrug bekannt, bei denen QR-Codes dazu verwendet wurden, Menschen zur Übertragung ihres Vermögens zu bewegen. Quishing ist inzwischen ebenfalls eine beliebte Betrugsmasche.Wie funktioniert ein Quishing-Angriff ?
Beim Quishing nutzen Kriminelle manipulierte QR-Codes, die NutzerInnen auf unsichere Websites weiterleiten. Diese QR-Codes werden in Phishing-Mails versteckt, über soziale Medien geteilt, auf Anschreiben und Flyer gedruckt oder sogar als Aufkleber im öffentlichen Raum verteilt.Damit Menschen den Code scannen, setzen die Betrüger auf bewährte Phishing-Methoden. Zum Beispiel wird in einer E-Mail versprochen, man habe einen Geldpreis gewonnen – man müsse nur den QR-Code scannen, um den Gewinn einzulösen. Oder man erhält eine Textnachricht, die dazu auffordert, den QR-Code zu scannen, um eine wichtige Sprachnachricht abzuhören, angebliche Konto-Probleme zu beheben oder auf “verdächtige Aktivitäten” zu reagieren. Das gemeinsame Muster? Ein Gefühl der Dringlichkeit, das Menschen dazu bringt, schnell und unüberlegt zu handeln.Sobald man den Code scannt, landet man auf einer Website, die nach sensiblen Daten wie Name, E-Mail-Adresse, Geburtsdatum oder sogar Bankinformationen fragt. Diese Websites können auf den ersten Blick seriös erscheinen, bezwecken aber nur, Daten für Identitätsdiebstahl oder Finanzbetrug zu sammeln.Warum sind wir so anfällig für Quishing?
Quishing ist für Kriminelle eine attraktive Methode, da sie sich unsere mobile Lebensweise zunutze macht: Denn die meisten Desktop-Systeme verfügen über mehrere Schutzebenen gegen Phishing, was es Betrügern erschwert, erfolgreich zu sein. Smartphones hingegen sind oft weniger gut geschützt. Angriffe über QR-Codes können leicht traditionelle Sicherheitsvorkehrungen wie sichere E-Mail-Gateways umgehen. Viele Sicherheitssysteme betrachten QR-Codes einfach als harmlose Bilder und übersehen die versteckte Bedrohung.Wer einen QR-Code gedankenlos scannt, bemerkt im Zweifel gar nicht, dass die Website, die sich hinter dem Link verbirgt, gefährlich ist – oder Malware auf dem Gerät installiert wird. Cyberkriminelle können so unbemerkt persönliche Informationen oder Bankdaten stehlen.Warum Quishing so schwer zu bekämpfen ist
Quishing-Angriffe sind besonders schwer zu erkennen, weil dabei mehrere Geräte verwendet werden können: Man öffnet beispielsweise eine E-Mail mit einem QR-Code auf dem Arbeitslaptop und scannt diesen dann mit dem Smartphone. Handelt es sich dabei um ein privates Gerät, greift oft nicht die Sicherheitsinfrastruktur des Unternehmens, und Angreifer haben leichtes Spiel. Umgekehrt kann ein QR-Code aus dem privaten Posteingang, der mit einem Arbeitsgerät gescannt wird, Malware einschleusen, die die Firewall des Unternehmens umgeht. Dieser Wechsel zwischen Geräten schafft blinde Flecken, die es Unternehmen erschweren, solche Angriffe zu erkennen und abzuwehren.Wie man sich vor Quishing schützen kann
Der einfachste Weg, sich gegen Quishing zu schützen? Scanne keine QR-Codes, die nicht von einer seriösen Quelle stammen. Wenn ein QR-Code an einem ungewöhnlichen Ort auftaucht, ist das meistens ein Warnsignal. Überprüfe die URL sorgfältig – vertauschte Buchstaben oder seltsame Schreibweisen sind oft ein Hinweis auf Betrug. Wenn du dir unsicher bist, verzichte auf den Scan und beschaffe dir die Informationen auf einem anderen Weg, zum Beispiel über die offizielle Website des Unternehmens oder durch einen Anruf. Denke daran: Seriöse Unternehmen verwenden in der Regel keine QR-Codes zur Verifizierung von Nutzerkonten!Sei außerdem vorsichtig bei Benachrichtigungen, die du zur Autorisierung von Zahlungen oder zum Anmelden in deinem Bankkonto erhältst – bestätige sie nur, wenn du sie selbst eingeleitet hast. Halte dein Handy stets auf dem neuesten Stand, was Updates betrifft, und verwende starke, individuelle Passwörter sowie die Zwei-Faktor-Authentifizierung. So schützt du dich effektiv vor Quishing und musst dir keine Sorgen um deine Daten machen.
Dein Geld bei N26
Bei N26 nehmen wir Sicherheit ernst. Alle N26 Mastercards sind mit 3D Secure-Technologie geschützt, und solltest du ungewöhnliche Aktivitäten auf deinem Konto feststellen, kannst du deine Karte direkt über die App sperren. Du erhältst außerdem direkt Benachrichtigungen zu allen Aktivitäten auf deinem Konto, damit du stets den Überblick hast und dir keine Sorgen machen musst. Statte unserer Kontenseite einen Besuch ab, um genau das richtige Konto für dich zu finden.