„Quishing": Neue gemeine Betrugsmasche per E-MailAbsender genau prüfen, bevor man auf einen Link in der E-Mail klickt - das machen viele inzwischen automatisch. Doch noch relativ neu ist die Betrugsmasche, bei der kriminelle Absender einen QR-Code verschicken mit der Aufforderung, diesen einzuscannen. "Quishing" nennt die Polizei diese Variante und warnt mit der Wortkombination "QR-Code" und "Phishing" vor der Betrugsfalle."Die Cyberkriminellen nutzen eine Schwäche von IT-Sicherheitslösungen aus. Diese scannen E-Mails zwar stets auf verdächtige Anhänge und URLs. Ein QR-Code, der in eine E-Mail eingebunden ist, wird von ihnen jedoch nur als Bild erkannt und deshalb sehen die Sicherheitsprogramme in einem QR-Code kein Risiko", heißt es von der Polizei.Woran Sie "Quishing" erkennen:•Die E-Mails unterscheiden sich kaum von Phishing-Mails – der Aufbau und die Absicht gleich.•In der Betreffzeile wird in der Regel auf ein Sicherheitsproblem hingewiesen. Manchmal heißt es auch, der Nutzer benötige ein Dokument, an das sie durch das Einscannen des QR-Codes auf ihrem Smartphone gelangen könnten - auf jeden Fall wird dazu aufgefordert, den QR-Code einzuscannen.Wer das tut, wird auf eine gefälschte Website weitergeleitet. "Hier können unterschiedliche Dinge passieren. Entweder laden Nutzer Dokumente herunter, die mit Malware verseucht sind, oder sie geben Login-Daten ein, die direkt an die Betrüger weitergeleitet werden", erläutert" Patrycja Schrenk, Geschäftsführerin der PSW GROUP, im IT-Sicherheitsmagazin "<kes>".Die Cyberkriminellen können mit den erbeuteten Zugangsdaten etwa Einkäufe im Internet tätigen oder Zugang zu geschützten Firmennetzwerken erlangen. IT-Sicherheitsexpertin Schrenk gibt vier praktische Tipps gegen "Quishing":•Mails sorgfältig prüfen, keine verdächtigen Anhänge oder Links öffnen, keine QR-Codes einscannen.•Handelt es sich wirklich um den angeblichen Absender? Prüfen Sie dies über offizielle Kanäle und nehmen Sie im Zweifel Kontakt auf.•Multi-Faktor-Authentifizierung nutzen: Selbst wenn Ihre Daten Kriminellen in die Hände fallen, fehlt ihnen der zweite oder dritte Faktor zum erfolgreichen Einloggen unter Ihrem Namen.•Für Unternehmen gilt: Deren Sicherheitsrichtlinie sollte zwingend auch Smartphones einschließen. Oftmals existieren für Computer strenge Sicherheitsvorkehrungen, aber nicht für Firmenhandys. Zudem müssten Mitarbeitende unbedingt laufend über entsprechende Gefahren informiert werden.
Neue Betrugsmasche aufgetreten
Scannen Sie nicht jeden QR-Code ein. Auch nicht dann, wenn Sie dazu aufgefordert werden.Bleiben Sie wachsam, bleiben Sie kritisch !