Vielleicht kennen Sie dieses Ritual auch: Jemand überreicht Ihnen eine Visitenkarte, Sie zücken Ihr Smartphone, ein paar Klicks, ein QR-Code leuchtet auf. Jetzt greift auch Ihr Gegenüber zum Smartphone. Wieder ein paar Klicks. Schon hat Ihr Geschäftspartner oder die neue Bekanntschaft aus dem Fitness-Studio Ihre Kommunikationsdaten, ist mit Ihrer Website oder Ihrem Profil auf einer Business-Plattform verbunden. Passen Sie bloß auf, dass Sie nicht unter Betrugsverdacht geraten, wenn Sie sich das nächste Mal via QR-Code austauschen.
Wie bei allen praktischen und gerne verwendeten Tools und Services im digitalen Universum gesellen sich auch rund um den QR-Code negative Aspekte und Gaunereien hinzu. QR-Code-Phishing entwickelt sich nicht nur zunehmend zu einem Problem, sondern vor allem zur Gefahr für jede einzelne Userin, für jeden User und auch für Unternehmen. Auch Cyber-Kriminelle haben die QR-Codes für sich entdeckt, setzen sie ein und manipulieren sie, um damit ihr Unwesen zu treiben. Je mehr sich die soo nützlichen kleinen Quadrate in unserem Alltag verbreiten und uns das Leben erleichtern, desto interessanter werden sie für Gauner und Verbrecher. Besonders perfid, das QR-Code-Phishing beschränkt sich nicht nur auf die digitale Welt, es verbreitet sich auch auf besonders vielfältige Weise über analoge Wege.
Ein verlässliches Zeichen dafür, dass nicht nur die QR-Codes in der Mitte der Gesellschaft angekommen sind, sondern auch die einschlägigen Betrugsmaschen immer mehr um sich greifen, ist die Tatsache, dass es bereits eine eigene Fachvokabel dafür gibt: Quishing – ein Kompositum aus QR und Phishing, auf den Code wird verzichtet.
Die Gefahr beim Quishing geht nicht von Social Media oder anderen Plattformen aus, sondern vielmehr von vergleichsweise „alten“ Formen der digitalen Kommunikation sowie von allerlei denkbaren und undenkbaren QR-Code-Anwendungen in der anlogen Welt. Der am häufigsten genutzt Kanal für Phishing-Attacken mit dem CR-Code ist das E‑Mail. Von gefälschten Rechnungen von Banken, Versicherungen und anderen öffentlichen Einrichtungen – auch per Brief versandt – über Bestellinformationen, Tracking und vieles andere mehr reichen die Inhalte der ohnedies längst zur Landplage gewordenen Fake-Mails. Nur enthalten viele von ihnen nun einen gefälschten QR-Code, der zu einer ebenso falschen, betrügerischen Website führt. Die Folgen sind bekannt: Daten werden gesammelt, Passwörter abgegriffen, Bezahlvorgänge freigegeben. Auch der Identitätsdiebstahl ist dank falscher QR-Codes möglich.
Doch Fake-QR-Code werden auch bereits mit Postwurfsendungen oder bei anderen Verteilaktionen unters Volk gebracht. Sogar die regulären QR-Codes auf öffentlichen Einrichtungen wie beispielsweise Bankomaten, Zugängen zu Parkgaragen, E‑Ladesäulen, Parkscheinautomaten usw. werden mit gefälschten QR-Codes überklebt, um unrechtmäßig an Daten und Informationen zu gelangen. Sogar gefälschte Plakate in öffentlichen Verkehrsmitteln wurden schon entdeckt, die Fake-Codes enthielten.
Eines der Grundprobleme liegt zum einen darin, dass die QR-Codes selbst nichts zu den Inhalten aussagen, zu denen sie weiterführen sollen. Zum anderen gibt es aber auch Smartphones, die direkt auf eine Website weiterleiten und nicht zuvor deren Webadresse anführen.
Technischen Schutz vor Quishing-Aktionen gibt es kaum. Einige Unternehmen und Institutionen bieten Tipps und Hilfe an. Die ähneln im Wesentlichen jenen gegen andere Phishing-Versuche im digitalen Universum und lassen sich trotz ihrer Vielfalt auf eine Formel reduzieren: Wachsam und vorsichtig zu sein.
Seinen Sie also vorsichtig. Die Quishing-Kriminellen schlafen nicht.
