Ein Kommentar von Alexander Koch, VP Sales EMEA bei Yubico
Wenn Sie bei Phishing sofort an E-Mails denken, sind Sie nicht allein. Allerdings sind diese nur eine von vielen Möglichkeiten, wie Phishing-Angriffe ablaufen können. Aufgrund der relativ geringen Kosten und der hohen Erfolgsquote nutzen Cyberkriminelle diese Betrugsform sehr häufig. Während die meisten Phishing-Angriffe immer noch per E-Mail erfolgen, gibt es seit einiger Zeit bereits auch Betrugsversuche per Textnachricht oder sogar per Telefonanruf. Aktuell ist jedoch eine neue Art von Phishing-Angriffen zu beobachten, und sie kommt aus einer unerwarteten Quelle: QR-Codes.
QR-Code-Phishing, auch „Quishing“ genannt, nutzt physische oder digitale QR-Codes, um Benutzer auf gefälschte Websites zu locken, die darauf abzielen, sensible Informationen zu stehlen oder ein Gerät mit Malware zu infizieren. Quishing nutzt eine weit verbreitete Technologie, was ein gewisses Grundvertrauen bei den Opfern mit sich bringt. Wie bei anderen Arten von Phishing wird genau dieses Vertrauen ausgenutzt, indem die Angreifer entweder neue, physische QR-Codes platzieren, oder gefälschte QR-Codes als Teil eines E-Mail- oder Text-Phishing-Angriffs versenden.
Doch wie sieht Quishing in der Umsetzung konkret aus?
An der Tür einer Bank ist ein QR-Code angebracht. Wenn der QR-Code gescannt wird, wird der Benutzer aufgefordert, sich bei seinem Bankkonto anzumelden, um beispielsweise an einem Gewinnspiel teilzunehmen. Die legitim wirkende Website, auf die der Nutzer verwiesen wird, ist jedoch in Wirklichkeit betrügerisch, und alle eingegebenen persönlichen Daten und Kontoinformationen sind nun kompromittiert.
Auch gerade digital ist Quishing schwer zu erkennen und gefährlich. Beispielweise erhält ein Nutzer eine E-Mail von seinem Lieblingseinzelhändler, die einen QR-Code enthält, um sich für ein neues Treueprogramm anzumelden. Wenn der Benutzer den Code auf seinem Computerbildschirm scannt, wird er aufgefordert, seine persönlichen Daten einzugeben, einschließlich des Namens, Adresse, Benutzername und Passwort.
Diese E-Mail enthält ebenfalls einen gefälschten QR-Code und ist ein Phishing-Angriff, der allen anderen Formen von Phishing-Angriffen ähnelt, nur unter Verwendung einer neuen Technologie. Diese Daten können nun verwendet werden, um auf die Website des Einzelhändlers und alle dort gespeicherten Informationen, einschließlich der Kreditkartendaten, zuzugreifen. Wenn dieses Passwort auf anderen Websites wiederverwendet wird, was 39 Prozent der Internetnutzer leider immer noch tun, könnte es in weiteren Fällen für Betrug verwendet werden. Darüber hinaus können die persönlichen Daten auf dem Schwarzmarkt verkauft werden, um von Dritten für künftige kriminelle Handlungen genutzt zu werden.
Was hilft gegen QR-Code-Phishing? Aktivieren Sie phishing-resistente MFA für Ihre Konten
QR-Codes selbst können zwar nicht gekapert werden, aber es ist sehr einfach, einen neuen und betrügerischen QR-Code-Aufkleber über eine legitime Quelle zu legen oder digital über E-mail an Nutzer heranzutreten. Es ist daher wichtig zu prüfen, ob die Quelle seriös ist. QR-Codes aus einer unbekannten Quelle sollte nicht vertraut werden. QR-Codes, die per E-Mail zugestellt werden, sollten immer mit äußerster Vorsicht behandelt werden.
Nutzer sollten, wo immer möglich, Konten mit Multi-Faktor-Authentifizierung (MFA) aktivieren, um den Erfolg von Phishing-Angriffen zu erschweren. Zwar ist jede Form von MFA besser als die Verwendung eines Benutzernamens und eines Passworts, aber nicht jede MFA ist gleich. Effektiven Schutz bieten phishing-resistente MFA-Optionen wie gerätegebundene Passkeys – also Hardware-Sicherheitsschlüssel.
Für Websites, die noch keine phishing-sicheren Methoden unterstützen, sollten Nutzer einen seriösen Passwort-Manager wie 1Password verwenden, um starke Anmeldedaten für jede Website zu erstellen und die Anmeldung auf verschiedenen Geräten zu erleichtern.
Über Yubico
Yubico (Nasdaq First North Growth Market Stockholm: YUBICO), Erfinder des YubiKey, bietet den Goldstandard für eine Phishing-resistente Multi-Faktor-Authentifizierung (MFA), die Kontoübernahmen vorbeugt und sichere Anmeldungen einfach und für jedermann möglich macht. Seit seiner Gründung im Jahr 2007 hat das Unternehmen federführend an der Festlegung globaler Standards für den sicheren Zugriff auf Computer, Mobilgeräte, Server, Browser und Internetkonten mitgewirkt. Yubico hat wesentlich zur Entwicklung der offenen Authentifizierungsstandards FIDO2, WebAuthn und FIDO Universal 2nd Factor (U2F) beigetragen und ist ein Pionier bei der Bereitstellung einer modernen, skalierbaren, hardwarebasierten Passkey-Authentifizierung für Kunden in über 160 Ländern.
Die Lösungen von Yubico ermöglichen eine passwortlose Anmeldung mit der sichersten Form der Passkey-Technologie. YubiKeys funktionieren out-of-the-box mit Hunderten von Verbraucher- und Unternehmensanwendungen und -diensten und vereinen starke Sicherheit mit Schnelligkeit und Benutzerfreundlichkeit.
Im Rahmen seiner Mission, das Internet für alle sicherer zu machen, spendet Yubico über die gemeinnützige Initiative Secure it Forward YubiKeys an Organisationen, die besonders gefährdete Personen unterstützen. Yubico hat seinen Hauptsitz in Stockholm und Santa Clara, Kalifornien. Für weitere Informationen über Yubico besuchen Sie uns bitte unter www.yubico.com.
Weitere Artikel
Unkontrollierte Schatten-IT: Das öffentliche WLAN ist ein potenzielles Einfallstor zum Firmennetz deutscher Unternehmen
Prognosen für 2022 der Cybersecurity-Experten von KnowBe4
Check Point Software informiert: Cyber-Attacken zum Schulbeginn in Aussicht
Wichtige Cybersecurity-Statistiken für 2021: Teil 2 – Cybercrime und Cyberangriffe