Quishing
Was ist Quishing?
QuishingPhishing, das eine bösartige URL in einem QR-Code versteckt und Opfer dazu bringt, ihn mit dem Smartphone zu scannen und eine Anmeldedaten- oder Malware-Seite außerhalb der Unternehmensabwehr aufzurufen.
Quishing (QR-Code-Phishing) ist ein Social-Engineering-Angriff, bei dem der bösartige Link als QR-Code kodiert statt als sichtbarer Text geschrieben wird. Da die URL in einem Bild eingebettet ist, umgeht sie häufig E-Mail-Link-Scanner und Secure-E-Mail-Gateways, und das Scannen verlagert das Opfer in der Regel auf ein privates Mobilgerät mit schwächeren Kontrollen. Häufige Köder sind gefälschte Hinweise zur Einrichtung der Multi-Faktor-Authentifizierung, Anfragen zu Paketzustellung oder Parkgebühren sowie Aufkleber, die über legitime Codes auf Plakaten oder Restauranttischen geklebt werden. Zu den Abwehrmaßnahmen zählen bild- und QR-fähige E-Mail-Filterung, das Sperren von Angreiferdomänen, phishingresistente FIDO2-Authentifizierung, Mobile Threat Defense und die Sensibilisierung der Nutzer.
● Beispiele
- 01
Eine E-Mail, die sich als IT-Abteilung ausgibt, fordert Mitarbeitende auf, einen QR-Code zu scannen, um die Microsoft-365-MFA "wieder zu aktivieren" — und führt zu einer gefälschten Anmeldeseite, die Zugangsdaten und Sitzungstoken abgreift.
- 02
Angreifer kleben gefälschte QR-Codes über die legitimen Codes an Parkscheinautomaten, sodass Autofahrer eine betrügerische Website statt der Stadt bezahlen.
● Häufige Fragen
Was ist Quishing?
Phishing, das eine bösartige URL in einem QR-Code versteckt und Opfer dazu bringt, ihn mit dem Smartphone zu scannen und eine Anmeldedaten- oder Malware-Seite außerhalb der Unternehmensabwehr aufzurufen. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Quishing?
Phishing, das eine bösartige URL in einem QR-Code versteckt und Opfer dazu bringt, ihn mit dem Smartphone zu scannen und eine Anmeldedaten- oder Malware-Seite außerhalb der Unternehmensabwehr aufzurufen.
Wie funktioniert Quishing?
Quishing (QR-Code-Phishing) ist ein Social-Engineering-Angriff, bei dem der bösartige Link als QR-Code kodiert statt als sichtbarer Text geschrieben wird. Da die URL in einem Bild eingebettet ist, umgeht sie häufig E-Mail-Link-Scanner und Secure-E-Mail-Gateways, und das Scannen verlagert das Opfer in der Regel auf ein privates Mobilgerät mit schwächeren Kontrollen. Häufige Köder sind gefälschte Hinweise zur Einrichtung der Multi-Faktor-Authentifizierung, Anfragen zu Paketzustellung oder Parkgebühren sowie Aufkleber, die über legitime Codes auf Plakaten oder Restauranttischen geklebt werden. Zu den Abwehrmaßnahmen zählen bild- und QR-fähige E-Mail-Filterung, das Sperren von Angreiferdomänen, phishingresistente FIDO2-Authentifizierung, Mobile Threat Defense und die Sensibilisierung der Nutzer.
Wie schützt man sich gegen Quishing?
Schutzmaßnahmen gegen Quishing kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Quishing?
Übliche alternative Bezeichnungen: QR-Code-Phishing.
● Verwandte Begriffe
- attacks№ 917
Phishing
Ein Social-Engineering-Angriff, bei dem sich der Angreifer als vertrauenswürdige Stelle ausgibt, um Opfer zur Preisgabe von Zugangsdaten, Geldüberweisungen oder zur Ausführung von Schadsoftware zu verleiten.
- attacks№ 1175
Smishing
Phishing über SMS oder andere Mobile-Messaging-Kanäle, das Opfer zum Klicken bösartiger Links, Anrufen betrügerischer Nummern oder zur Datenpreisgabe verleitet.
- attacks№ 1333
Vishing
Phishing über Sprachkanäle — Telefonanrufe oder VoIP — um Opfer zur Preisgabe von Zugangsdaten, Zahlungen oder Fernzugriff zu bewegen.
- attacks№ 1192
Spear-Phishing
Gezielter Phishing-Angriff, der auf eine bestimmte Person oder Organisation zugeschnitten ist und vorab recherchierte persönliche oder berufliche Details nutzt.
- attacks№ 1183
Social Engineering
Psychologische Manipulation, mit der Menschen zu Handlungen oder zur Preisgabe vertraulicher Informationen bewegt werden, von denen ein Angreifer profitiert.
- identity-access№ 253
Credential Harvesting
Das massenhafte Abgreifen von Benutzernamen, Passwörtern, Tokens und anderen Authentifizierungsgeheimnissen, meist für späteren Kontoübernahme oder Weiterverkauf.