Phishing-Kampagnen stehen bei Cyberkriminellen hoch im Kurs und gehören zu den beliebtesten Angriffsmethoden. Kein Wunder, denn Phishing-Kampagnen sind lohnenswert: Mit gut gefälschten E-Mails im Namen von Banken oder Unternehmen verstecken die Angreifer entweder Malware im Anhang oder hinter eingebauten Links oder versuchen, so an persönliche Daten ihrer Opfer zu gelangen. Zwar sind Anwendende dank heutiger Spam-Filter und Virenscanner gut geschützt, denn die Technik sorgt dafür, dass viele verseuchte Phishing-E-Mails schon im Vorfeld aussortiert werden. Je professioneller jedoch die Fälschungen der Cyberkriminellen werden, umso schwieriger wird es, Phishing-E-Mails von echten zu unterscheiden.
„Cyberkriminelle suchen immer neue Methoden, um Sicherheitsvorkehrungen umgehen zu können. Eine davon ist das Quishing – das Phishing mit QR-Codes“, warnt Patrycja Schrenk, Geschäftsführerin der PSW Group. Die IT-Sicherheitsexpertin erklärt: „Sicherheitslösungen scannen E-Mails für gewöhnlich auf Anhänge und URLs. In Phishing-Mails mit QR-Codes umgehen Cyberkriminelle diese Kontrollen jedoch. Denn QR-Codes funktionieren ähnlich wie Strichcodes auf Produkten und arbeiten visuell. Genau das wird von Sicherheitsprogrammen nicht bemerkt, da diese nur den Text oder Code einer E-Mail sowie ihres Anhangs prüfen. Der QR-Code wird als harmlose Bilddatei wahrgenommen. So landen Phishing-Nachrichten mit QR-Codes quasi unter dem Sicherheitsradar direkt im Postfach ihrer Opfer.“
In den Mails wird – wie beim Phishing üblich – behauptet, es läge irgendein Sicherheitsproblem vor und Nutzende müssten nun aktiv werden. Alternativ behaupten die Betrüger, dass ihre Opfer ein Dokument bräuchten, welches hinter dem QR-Code versteckt sei. In jedem Fall werden die Opfer angehalten, einen QR-Code mit dem Smartphone zu scannen. Folgen sie dieser Aufforderung, werden sie mit dem Smartphone auf gefälschte Websites weitergeleitet. „Und hier können unterschiedliche Dinge passieren. Entweder laden Nutzende Dokumente herunter, die mit Malware verseucht sind, oder sie geben Login-Daten ein, die direkt an die Betrüger weitergeleitet werden“, so Schrenk.
Aktuelle Quishing-Kampagne mit Microsoft 365
Aktuell versuchen Cyberkriminelle, Nutzerdaten für den Cloud-Service Microsoft 365 zu erbeuten – wohl eine Weiterentwicklung einer ursprünglich weniger gut funktionierenden Taktik: Zunächst wurden E-Mails mit einer URL versandt, die zu einer angeblichen Voicemail führen sollte. Um diese anzuhören, war es notwendig, die Login-Daten einzugeben. Gängige Antivirenprogramme erkannten die Masche jedoch ziemlich schnell und blockten diese E-Mails. „Der einstige Link wurde von den Cyberkriminellen jetzt durch einen QR-Code ersetzt. Gängige Sicherheitslösungen stufen diese vermeintlich harmlose Bilddatei nun nicht mehr als gefährlich ein. Eine erhöhte Glaubwürdigkeit erhält diese Quishing-Kampagne ausserdem dadurch, dass die E-Mails von Accounts versendet werden, die bereits mit Schadsoftware infiziert wurden. Reale Mitarbeitende von realen Unternehmen scheinen also dahinterzustehen. Wenngleich noch nicht geklärt ist, wie die Kriminellen sich Zugang zu diesen E-Mail-Accounts verschafft haben, erhöht diese Tatsache leider die Glaubwürdigkeit der Quishing-Mails“, warnt Patrycja Schrenk. Folgt ein Opfer dem QR-Code, wird es auf eine täuschend echt aussehende Fälschung der Microsoft 365-Login-Seite geleitet. Hier sollen Opfer ihre Nutzerdaten eingeben, um die Voicemail, die in der E-Mail angesprochen wurde, abhören zu können. Folgen sie dieser Anweisung, fallen die Daten den Kriminellen in die Hände.
Wie also können sich Organisation vor Quishing schützen? Die IT-Sicherheitsexpertin hat vier Tipps parat: „Zunächst gilt es, sorgfältig zu prüfen, ob es sich um eine Fälschung handeln könnte. Erscheint eine Nachricht nämlich verdächtig, sollten weder Anhänge geöffnet, noch Links geklickt oder QR-Codes gescannt werden. Im Zweifelsfall kann der Absendende über offizielle Kanäle kontaktiert werden, um sich zu vergewissern, ob die Nachricht tatsächlich von diesem Absender stammt. Grundsätzlich ist Multi-Faktor-Authentifizierung ein weiterer wirksamer Schutz vor allen Formen des Phishings. Denn selbst wenn Kriminelle Zugangsdaten in Erfahrung bringen, fehlt ihnen der zweite (oder dritte) Faktor zum Einloggen. Drittens sollte die Sicherheitsrichtlinie eines Unternehmens zwingend auch Smartphones einschliessen. Oftmals existieren für Rechner und Notebooks recht strenge Sicherheitsvorkehrungen, aber kaum für Firmentelefone. Hier muss umgedacht werden. Last but not least ist der beste Schutz vor Quishing die Weiterbildung aller Beschäftigten. Denn nur, wenn Gefahren als solche auch bekannt sind und erkannt werden, können Mitarbeitende entsprechend handeln.“