Quishing – die neue Phishing-Variante und wie man sich davor schützt

Phishing ist eine Form des Betrugs über das Internet, bei denen täuschend echt aussehende Mails Empfänger dazu verleiten sollen, personenbezogene Daten preiszugeben. Trotz großflächiger Aufklärung und medialer Präsenz des Themas auf allen Kanälen fallen immer wieder unbedarfte User auf Phishing-Mails herein. Inzwischen gibt es eine neue Variante namens „Quishing“: Gefälschte E-Mails, die einen Barcode oder QR-Code beinhalten, den die Empfänger scannen sollen.

Die fingierten und erfundenen Absender von „klassischen“ Phishing-Mails sind in der Regel gefälschte Adressen von Behörden, Banken oder gar der Polizei. Damit appellieren die Urheber dieser kriminellen Übergriffe insgeheim an „Obrigkeitsdenken“ der Empfänger. Denn wer hat schon Zweifel an der Echtheit einer Nachricht, wenn er direkt von der nächstgelegenen Polizeidienststelle, der „eigenen Bank“ oder einer Finanzbehörde angeschrieben und um Informationen gebeten wird. Phishing Mails beinhalten in der Regel eine direkte Aufforderung dazu, personenbezogene Daten, Passwörter oder Kontonummern per Antwortmail zu übermitteln.

Auch die Quishing-Mails stammen meist von Absendern, die besonders seriös wirken wollen. Den Unterschied zum Phishing macht der Barcode oder QR-Code, den sie beinhalten. Diesen soll der Empfänger scannen, um sich beispielsweise eine wichtige Erweiterung oder ein Sicherheitsfeature aufs Smartphone zu laden. Dabei geschieht genau das Gegenteil: Werden der Barcode oder der QR-Code gescannt, werden beim Scannen Dateien aufs Handy geladen, die es den Cyberkriminellen ermöglichen, das Gerät zu manipulieren, Passwörter auszulesen oder Transaktionen durchzuführen.

Empfehlung: Barcodes oder QR-Codes niemals ungeprüft einscannen

Anders als bei Sicherheitsfeatures auf PC und Tablet sind die Schutzmechanismen fürs Handy noch nicht dazu in der Lage, fingierte Barcodes oder QR-Codes zu erkennen, die per Quishing-Mail übersendet werden. So sollten Sie als Empfänger von fragwürdigen E-Mails mit der Aufforderung, den Barcode oder QR-Code zu scannen, grundsätzlich keine der geforderten Aktivitäten ausführen. Zunächst sollten Sie überprüfen, ob der Absender der E-Mail tatsächlich existiert, beispielsweise in dem Sie per Suchmaschine die vermeintliche Absenderadresse überprüfen. Oft führt schon diese Suche nach dem Absender zu Warnmeldungen von Betroffenen, die vergleichbare E-Mails von dieser Adresse erhalten haben.

Indizien für Fake-Absender-Adressen sind beispielsweise unlogisch erscheinende URLs, Texte mit auffällig vielen Rechtschreibfehlern sowie stümperhaft kopierte Logos von Behörden, Banken oder großen Unternehmen. Außerdem sollten Sie Verdacht schöpfen, wenn die E-Mail nicht namentlich gekennzeichnet ist und für Rückfragen weder eine persönliche E-Mail-Adresse noch eine Rufnummer genannt sind. Oft sehen die E-Mails zwar annähernd authentisch aus, aber die Webseite, die angesteuert wird, ist oft klar einem anderen Herkunftsland zuzuordnen und nicht mit der Benennung des E-Mail-Absenders identisch. Spätestens in diesem Fall sollte auf keinen Fall irgendein Datentransfer oder Download auf der fragwürdigen Webseite erfolgen.

Auch personenbezogene Daten, wie Adressangaben, Passwörter, Informationen zu Kreditkarten oder Konnten, sollten auf keinen Fall über unsichere Formulare auf der Zielwebseite preisgegeben werden. Die Kriminellen haben es nämlich genau auf diese Daten abgesehen, um dann beispielsweise Einkäufe oder Geldtransfers im Namen des Empfängers der gefälschten Nachricht durchzuführen.

Fazit: Auch wenn die Quishing-Methode neu ist, unterscheidet sie sich lediglich durch die Übertragungsart, zu der aufgefordert wird, von bekannten Phishing-Mails. Generell sollte vor jedweder Aktivität, zu der in einer E-Mail von „Unbekannten“ aufgefordert wird, eine Echtheitsüberprüfung vorgenommen werden.