Umfragen haben ergeben, dass etwa 86,66 Prozent der Smartphone-Nutzer in Europa mindestens einmal in ihrem Leben einen QR-Code gescannt haben. 36,4 Prozent nutzen sogar mindestens einmal pro Woche einen solchen Code. Doch auch Kriminelle wissen um die Vorteile dieser kleinen Bilder und nutzen sie für ihre Zwecke. Diese Praxis nennt sich Quishing, ein Kofferwort aus Phishing und QR-Code, und ist bereits seit einiger Zeit bekannt. Doch in den letzten Monaten hat die Zahl der beobachteten Fälle erheblich zugenommen, wie Sicherheitsforscher von Check Point nun berichten. Allein im August und September dieses Jahres stieg die Zahl der Fälle um satte 587 Prozent.
Beim Quishing versuchen die Kriminellen meist, die Opfer mit QR-Codes auf gefälschte Webseiten zu locken, um dort Nutzerdaten zu sammeln. Dabei kommt ihnen zugute, dass die Codes von herkömmlichen Sicherheitslösungen und Virenscannern lediglich als Bild erkannt werden. Trotzdem lassen sich darin komplexe Daten speichern und die Nutzer können relativ leicht auf manipulierte Webseiten geleitet werden. Dort können die Hintermänner der Angriffe beispielsweise Nutzerdaten sammeln oder auch bösartigen Code verstecken, der dann heruntergeladen wird.
Bei den aktuellen Fällen scheinen es die Kriminellen jedoch eher auf Daten abgesehen zu haben. In den beschriebenen E-Mails wird dem Opfer suggeriert, dass die bestehende Mehr-Faktor-Authentifizierung von Microsoft auslaufen würde. Um das zu verhindern, solle sich der Nutzer über den in der E-Mail enthaltenen QR-Code neu authentifizieren. Da es mittlerweile durchaus üblich ist, mehrere Geräte für die Anmeldung bei einem Dienst einzusetzen, insbesondere bei der Nutzung von Mehr-Faktor-Authentifizierung, macht dieser Sprung vom Computer auf das Smartphone die Nutzer auch nicht stutzig.
Der rasante Anstieg der beobachteten Fälle macht deutlich, dass Quishing eine echte Bedrohung darstellt. Umso wichtiger ist es, geeignete Schutzmaßnahmen zu ergreifen. Dazu gehört es auch, sogenannte OCR-Funktionen (Optical Character Recognition) in Sicherheitslösungen zu integrieren, um bösartige QR-Codes zu erkennen. So lässt sich die URL auslesen und mit einem URL-Analyse-Tool auf bösartigen Code prüfen. Mindestens ebenso wichtig wie technische Lösungen ist es jedoch, das Bewusstsein für derartige Bedrohungen zu schärfen.
Bild (c) Gerd Altmann / Pixabay