Quishing-Betrugsmasche aus den USA kann auf Deutschland überschwappen.
Vor wenigen Tagen hat das FBI in den USA eine Warnung vor einer neuen Quishing-Betrugsmasche ausgesprochen. Unaufgefordert versenden Betrüger hier Postpakete an ihre Opfer. Statt dem Namen und der Adresse des Absenders versehen sie ihre Sendungen dabei mit einem QR-Code.
Scannt ihr Opfer diesen ein – im Glauben, hierdurch Informationen zur Identität des Absenders zu erhalten – wird es dann entweder auf eine getarnte Phishing-Website weitergeleitet oder ein gut getarnter Download von Malware wird initiiert. Eine Masche, die in den kommenden Monaten leicht auch nach Deutschland überschwappen kann.
Denn: auch hier setzen Betrüger schon seit geraumer Zeit zunehmend auf Quishing, das Phishing mittels QR-Codes. Besonders häufig kommt die Angriffstechnik hierzulande bislang vor allem an Orten mit starkem Publikumsverkehr und hoher QR-Code-Dichte auf – etwa an Bahnhöfen und Bushaltestellen, an Werbeplakaten, an Parkscheinautomaten und E-Ladesäulen. Die Betrüger überkleben dabei einfach die Original-QR-Codes seriöser Unternehmen mit ihren eigenen Codes, die ihre Opfer dann auf gut getarnte Phishing-Webseiten weiterleiten.
Quishing-Codes auch in Deutschland
Auch über reguläre Briefe und Emails werden Quishing-Codes hierzulande aber zunehmend versandt. Im Falle Letzterer nutzen die Cyberkriminellen eine bei vielen E-Mail-Sicherheitslösungen nach wie vor vorhandene Schwachstelle aus. E-Mails können sie zwar auf das Vorhandensein verdächtiger Anhänge und URLs prüfen, einen QR-Code, der in eine E-Mail eingebunden ist, meist aber eher nicht. Viele Sicherheitsprogramme interpretieren QR-Codes als einfache Bilder und lassen die E-Mails dann unbeanstandet in das Postfach ihres Opfers wandern.
Im jüngsten Fall der USA nun, versenden die Betrüger unaufgefordert Pakete, die sie zuvor mit einem QR-Code Modell 1 bestückt haben. Ein Scan führt das Opfer dann entweder auf eine getarnte Phishing-Webseite, die es dazu auffordert, persönliche Informationen preiszugeben oder lässt das Endgerät des Opfers Mal- und Spyware herunterladen, um dann in der Folge persönliche Daten einzusehen oder sogar zu stehlen.
Letztlich handelt sich bei dieser neuartigen Quishing-Masche um eine Variante des ‚Brushing-Betrugs‘, der schon seit einigen Jahren unter betrügerischen Online-Händlern gang und gebe ist. Diese senden eigenständig Waren an einen Empfänger – ohne, dass dieser diese bestellt hätte – und verwenden die Daten des Empfängers dann, um sich positive Produkt- und Lieferbewertungen zu erschleichen und ihre offiziellen Verkaufszahlen in die Höhe zu treiben. Bei dieser Variante nun haben nicht betrügerische Onlinehändler, sondern Cyberkriminelle die Hand im Spiel. Nicht die Manipulation von Marktdaten, sondern die Aneignung persönlicher Daten – die dann für weitergehende Folgeangriffe genutzt werden können – steht hier im Zentrum.
Das FBI rät allen, wachsam zu sein, wenn sie Pakete mit Waren erhalten, die Sie nicht bestellt haben oder die einen QR-Code statt einer Absenderadresse tragen.
Die neueste Quishing-Betrugsmasche macht deutlich: immer tiefer dringen Cyberangriffe in unser aller physischen Alltag vor. Es führt kein Weg daran vorbei: die Gesellschaft muss sich noch mehr mit Phishing, Social Engineering und (Online-)Betrug beschäftigen. Sie muss aktiver werden, selbständig verdächtiges Online-Verhalten erkennen und melden. Das wird aber nur gelingen, wenn Unternehmen sich noch mehr einbringen und ihre Angestellten – durch Schulungen und Trainings – noch stärker gegen Betrugsversuche von Cyberkriminellen wappnen.
Effektiv helfen kann ihnen hierbei ein modernes Human Risk Management. Dessen Phishing-Trainings, -Schulungen und -Tests lassen sich, KI sei Dank, mittlerweile personalisieren und automatisiert zum Einsatz bringen. Seine moderne Anti-Phishing-E-Mail-Technologien kombinieren – um selbst neuste Zero Day-Bedrohungen aufzuspüren und zu neutralisieren – KI mit Crowdsourcing,. Mit solchen und ähnlichen Systemen wird es Unternehmen möglich sein, die Human Risks ihrer Belegschaft zurückzufahren und ihre Mitarbeiter zu ihrer besten Verteidigung im Kampf gegen Cyberbedrohungen zu machen.
