Quishing (QR-Code-Phishing)
Was ist Quishing (QR-Code-Phishing)?
Quishing (QR-Code-Phishing)Phishing-Technik, die einen QR-Code statt eines klickbaren Links verwendet, um Opfer auf eine Credential-Harvesting- oder Malware-Seite zu locken.
Quishing - kurz fuer QR-Phishing - platziert einen boesartigen QR-Code in einer E-Mail, PDF, einem Poster, Parkschein oder Restaurant-Flyer. Scannt das Opfer ihn mit der Handykamera, oeffnet das Geraet eine vom Angreifer kontrollierte URL ausserhalb der Mail-Gateway- und Endpoint-Browser-Kontrollen. Da QR-Codes Bilder sind, werden sie von klassischen URL-Filtern und DMARC-Pruefungen oft uebersehen, und private Handys sind meist nicht verwaltet. 2023 explodierte Quishing als Methode, das Safe-Link-Rewriting in Microsoft-365-Kampagnen zu umgehen und gefaelschte "MFA-Enrolment"-PDFs anzuhaengen. Schutz: QR-faehiges E-Mail-Filtering, mobiles MDM mit Webfilter, Awareness und Pruefen jeder QR-URL vor jeder Anmeldung.
● Beispiele
- 01
Eine E-Mail-PDF fordert auf, einen QR-Code zur "Reauthentifizierung von Microsoft 365" zu scannen, fuehrt aber zu einer falschen Entra-ID-Anmeldung.
- 02
Ein betruegerischer Aufkleber ueber dem QR-Code einer staedtischen Parkuhr leitet die Zahlung auf das Wallet des Angreifers um.
● Häufige Fragen
Was ist Quishing (QR-Code-Phishing)?
Phishing-Technik, die einen QR-Code statt eines klickbaren Links verwendet, um Opfer auf eine Credential-Harvesting- oder Malware-Seite zu locken. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Quishing (QR-Code-Phishing)?
Phishing-Technik, die einen QR-Code statt eines klickbaren Links verwendet, um Opfer auf eine Credential-Harvesting- oder Malware-Seite zu locken.
Wie funktioniert Quishing (QR-Code-Phishing)?
Quishing - kurz fuer QR-Phishing - platziert einen boesartigen QR-Code in einer E-Mail, PDF, einem Poster, Parkschein oder Restaurant-Flyer. Scannt das Opfer ihn mit der Handykamera, oeffnet das Geraet eine vom Angreifer kontrollierte URL ausserhalb der Mail-Gateway- und Endpoint-Browser-Kontrollen. Da QR-Codes Bilder sind, werden sie von klassischen URL-Filtern und DMARC-Pruefungen oft uebersehen, und private Handys sind meist nicht verwaltet. 2023 explodierte Quishing als Methode, das Safe-Link-Rewriting in Microsoft-365-Kampagnen zu umgehen und gefaelschte "MFA-Enrolment"-PDFs anzuhaengen. Schutz: QR-faehiges E-Mail-Filtering, mobiles MDM mit Webfilter, Awareness und Pruefen jeder QR-URL vor jeder Anmeldung.
Wie schützt man sich gegen Quishing (QR-Code-Phishing)?
Schutzmaßnahmen gegen Quishing (QR-Code-Phishing) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Quishing (QR-Code-Phishing)?
Übliche alternative Bezeichnungen: QR-Phishing, QRishing.
● Verwandte Begriffe
- attacks№ 821
Phishing
Ein Social-Engineering-Angriff, bei dem sich der Angreifer als vertrauenswürdige Stelle ausgibt, um Opfer zur Preisgabe von Zugangsdaten, Geldüberweisungen oder zur Ausführung von Schadsoftware zu verleiten.
- attacks№ 1059
Smishing
Phishing über SMS oder andere Mobile-Messaging-Kanäle, das Opfer zum Klicken bösartiger Links, Anrufen betrügerischer Nummern oder zur Datenpreisgabe verleitet.
- attacks№ 140
Callback-Phishing
Zweistufiger Phishing-Angriff, bei dem eine harmlos wirkende E-Mail das Opfer dazu bringt, eine Telefonnummer anzurufen, wo ein menschlicher Operator die Malware-Installation begleitet.
- identity-access№ 230
Credential Harvesting
Das massenhafte Abgreifen von Benutzernamen, Passwörtern, Tokens und anderen Authentifizierungsgeheimnissen, meist für späteren Kontoübernahme oder Weiterverkauf.
- attacks№ 1065
Social Engineering
Psychologische Manipulation, mit der Menschen zu Handlungen oder zur Preisgabe vertraulicher Informationen bewegt werden, von denen ein Angreifer profitiert.