Verbraucherzentrale warnt vor Quishing
von caschy | 9 Kommentare
Quishing, eine Abkürzung für QR-Code-Phishing, ist ein Identitätsbetrug, bei dem Angreifer QR-Codes erstellen, die Opfer auf bösartige Websites umleiten oder dazu auffordern, schädliche Inhalte herunterzuladen oder Daten einzugeben. Diese Angriffe nutzen die Bequemlichkeit und die Verwendung von QR-Codes aus, um sensible Informationen zu stehlen, Malware zu installieren oder Geld zu unterschlagen. Aktuell warnt da die Verbraucherzentrale.
Eine Verbraucherin in München erhielt Ende August 2024 einen Brief von der Commerzbank. Da sie kein Konto bei dieser Bank besitzt, war sie überrascht, dass sie aufgefordert wurde, das „photoTAN-Verfahren zur Sicherheit Ihrer Bankgeschäfte“ zu aktualisieren. Der Brief enthielt einen QR-Code, der auf eine betrügerische Internetseite führte. Dort eingegebene Daten, wie beispielsweise Zugangsdaten zum Online-Banking, könnten von Kriminellen abgefangen werden. Das Landeskriminalamt Nordrhein-Westfalen warnt davor, dass in einigen Fällen Geldtransfers auf diese Weise durchgeführt werden.
Es ist bereits bekannt, dass Betrüger oft per E-Mail versuchen, Menschen zu täuschen – neuerdings sogar mit QR-Codes. Das Phishing-Radar verzeichnet regelmäßig solche Fälle, so die Verbraucherzentrale NRW. Jetzt scheinen die Betrüger ihre Methoden zu ändern, indem sie ihre betrügerischen Mitteilungen auf Papier drucken und per Post versenden. Die Commerzbank, die angeblich hinter diesen Schreiben steckt, ist tatsächlich nicht involviert, ebenso wenig wie andere Banken, die ebenfalls als Absender solcher Briefe genannt werden. Ein weiteres Merkmal dieser Schreiben ist die unpersönliche Anrede „Sehr geehrte Kontoinhaberin, sehr geehrter Kontoinhaber“, die den Namen des Empfängers nicht enthält. Auch der abschließende Satz fällt durch seine umständliche Formulierung auf: „Vielen Dank für Ihr Verständnis und Ihre sofortige Kooperation in dieser Angelegenheit.“
Doch diese Briefe sind nicht allein. So gab es unter anderem auch falsche QR-Codes an Ladesäulen oder auch falsche Strafzettel für Falschparker.
Die Tipps der Verbraucherzentrale? Diese:
- Scannen Sie einen QR-Code nur, wenn Sie sich sicher sind, dass er seriös ist. Verwenden Sie möglichst einen QR-Code-Scanner, der die enthaltenen Informationen nicht direkt umsetzt, sondern zunächst anzeigt. Enthält der Code die Adresse einer Internetseite, lassen Sie diese nur dann öffnen, wenn Sie sicher sind, dass sie dem echten Anbieter gehört.
- Wenn Sie einen zweifelhaften Brief bekommen haben, rufen Sie beim Absender an. Verlassen Sie sich dabei nicht auf eine im Brief angegebene Telefonnummer, sondern recherchieren Sie auf seriösen Internetseiten, ob die Nummer auch dort in Verbindung mit dem Unternehmen zu finden ist. Bei einem Brief Ihrer Bank könnten Sie in Ihr echtes Online-Banking gucken und prüfen, ob Sie dort eine Nachricht mit Handlungsbedarf finden.
- Prüfen Sie bei einer Ladesäule, ob der QR-Code überklebt wurde. Falls das so ist, scannen Sie ihn nicht!
- Wenn Sie auf den Betrug hereingefallen sind, wenden Sie sich umgehend an die Polizei! Falls Sie Geld bezahlt haben, informieren Sie umgehend Ihre Bank oder rufen Sie den Sperr-Notruf 116116 an!
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Furchtbare Wortschöpfungen. Wieviele *schings soll es noch geben?
Man kann es noch so viele „lustige“ Namen geben – es bleibt Betrug und sollte auch so genannt werden.
Jedes Quishing ist ein (bis zum Eintreten des Erfolges nur versuchter!) Betrug – aber nicht jeder Betrug ist ein Quishing.
Vielleicht fällt es bzgl. Pflanzen einfacher: Jeder Baum, Strauch, Busch, Blume, selbst Unkraut ist eine Pflanze und dennoch macht Mensch sich die Mühe, sie zu unterscheiden. Warum wohl?
Lässt sich das im QR Code Scanner nicht einstellen, dass Links nicht direkt aufgerufen werden?
QR Droid kann das seit Jahren. Der Link wird gespeichert und ein Klick öffnet den Standardbrowser……da sehe ich in der Adresszeile, wohin die Reise geht.
Deshalb sollte man auch endlich diese elendigen URL Shortener verbieten.
Auch für Kurz-URLs gibt es Vorschau-Möglichkeiten
Es gibt wunderbare QR-Scanner, die einem erstmal die URL anzeigen, die aufgerufen werden soll, und dann muss man nochmal mit einem extra Klick bestätigen, dass man die Seite öffnen will. Klar nicht so „smooth ’n easy on the go“ aber etwas sicherer. Unter anderem secuso.org bietet einen QR Scanner an, auch gut über F-Droid zu finden (natürlich auch über Aurora und Play).
Vielleicht kann caschy diese Informationen ja noch im Artikel einfließen lassen; sicherlich für den ein oder anderen auch hilfreich.
Empfehle hier „Privacy Friendly QR-Scanner“ von SECUSO, entwickelt vom KTI Karlsruhe.
Scannen, prüfen und dann erst ausführen, ohne vorher irgendwelche dubiosen Rechte vergeben zu müssen.
Ich find das komisch… mein Pixel öffnet nicht direkt den Link. Ich sehe den vorher (gekürzt), könnte aber die Domain erkennen. Dann kann ich vergleichen ob der Link korrekt ist.
Ist das bei Apple bzw. anderen Android Geräten anders?
Ich hab sogar ne App installiert (werde ich nicht benennen, halten viele für Schlangenöl), die vor dem öffnen den Link prüft.
Aber auch würde ich niemals einfach so random QR Codes scannen. Auf einer Messe vielleicht, oder mal für nen WiFi Code bei Freunden. Aber nicht so auf der Straße. Aber bei Ladesäulen o.ä. würde ich eher die Webseite von Hand eintippen. Die 30 Sekunden sind mir meine Sicherheit wert.
Welche Schlüsse zeigt dein Smartphone bei bitly-links an?
Apropos erstmal URL anzeigen. Da möchte ich doch gerne mal den Homographischen Angriff in den Raum werfen, auch als unicode URL phishing bekannt:
https://de.wikipedia.org/wiki/Homographischer_Angriff