Vorsicht Quishing: Eine neue Betrugsmasche macht sich breit

Unter Phishing versteht man eine Betrugsmasche, bei der Cyberkriminelle offiziell anmutende Mails versenden, in denen die Empfänger darum ersucht werden, brisante Daten weiterzugeben. Mit „Quishing“ gibt es nun eine neue Variante.

Trotz großflächiger Aufklärung und medialer Präsenz des Themas auf allen Kanälen fallen immer wieder unbedarfte User auf Phishing-Mails herein. Inzwischen gibt es eine neue Variante namens „Quishing“: Gefälschte E-Mails, die einen Barcode oder QR-Code beinhalten, den die Empfänger scannen sollen. Die neue Betrugsmasche zielt darauf ab, Endgeräte, wie Smartphones oder Tablets, zu manipulieren.

Die offiziell anmutenden Inhalte der Phishing-Mails werden meist „im Namen“ von Banken, Behörden oder gar Polizeidienststellen zugestellt. Damit appellieren die Urheber dieser kriminellen Übergriffe insgeheim an ein „Obrigkeitsdenken“ der Empfänger. Denn wer hat schon Zweifel an der Echtheit einer Nachricht, wenn er direkt von der nächstgelegenen Polizeidienststelle, der „eigenen Bank“ oder einer Finanzbehörde angeschrieben und um Informationen gebeten wird. Phishing-E-Mails enthalten normalerweise eine explizite Aufforderung, personenbezogene Daten, Codes oder Zugangsdaten per E-Mail-Antwort zu übermitteln.

Quishing-Mails verwenden ebenfalls in der Regel Absender-Adressen, die auf den ersten Blick sehr offiziell wirken. Den Unterschied zum Phishing macht der Barcode oder QR-Code, den sie beinhalten. Diesen soll der Empfänger scannen, um sich beispielsweise eine wichtige Erweiterung oder ein Sicherheitsfeature aufs Smartphone zu laden. Dabei geschieht genau das Gegenteil: Werden der Barcode oder der QR-Code gescannt, werden beim Scannen Dateien aufs Handy geladen, die es den Cyberkriminellen ermöglichen, das Gerät zu manipulieren, Passwörter auszulesen oder Transaktionen durchzuführen. Bereits ein einmaliges Abscannen genügt den Kriminellen, sich in das betreffende Endgerät einzuhacken.

Niemals ohne Prüfung scannen

Im Gegensatz zu Sicherheitsfunktionen auf PCs und Tablets sind die Abwehrfähigkeiten von Mobiltelefonen noch nicht in der Lage, fingierte Barcodes oder QR-Codes automatisch zu löschen. So sollten Sie als Empfänger von fragwürdigen E-Mails mit der Aufforderung, den Barcode oder QR-Code zu scannen, grundsätzlich keine der geforderten Aktivitäten ausführen. Zunächst sollten Sie überprüfen, ob der Absender der E-Mail tatsächlich existiert, beispielsweise indem Sie per Suchmaschine die vermeintliche Absenderadresse überprüfen. Häufig genügt schon eine einfache Recherche mit der Suchmaschine, um zahlreiche Warnbotschaften bereits Betroffener zu finden. Indizien für Fake-Absender-Adressen sind beispielsweise unlogisch erscheinende URLs, Texte mit auffällig vielen Rechtschreibfehlern sowie stümperhaft kopierte Logos von Behörden, Banken oder großen Unternehmen. Außerdem sollten Sie Verdacht schöpfen, wenn die E-Mail nicht namentlich gekennzeichnet ist und für Rückfragen weder eine persönliche E-Mail-Adresse noch eine Rufnummer genannt sind. Oft sehen die E-Mails zwar annähernd authentisch aus, aber die Ziel-Webseite wird oft in einem exotischen Land gehostet. Spätestens in diesem Fall sollte auf keinen Fall irgendein Datentransfer oder Download auf der fragwürdigen Webseite erfolgen.

Eine zuverlässige Möglichkeit, die echte Herkunft einer E-Mail zu prüfen, ist das Auslesen des „E-Mail-Headers“, der die wahre Absenderadresse enthält. Auch personenbezogene Daten, wie Adressangaben, Passwörter, Informationen zu Kreditkarten oder Konten, sollten auf keinen Fall über unsichere Formulare auf der Zielwebseite preisgegeben werden. Die Kriminellen haben es nämlich genau auf diese Daten abgesehen, um dann beispielsweise Einkäufe oder Geldtransfers im Namen des Empfängers der gefälschten Nachricht durchzuführen.

Fazit: Auch für die neue Betrugsmasche gilt: Führen Sie nie eine Handlung durch, zu der sie Unbekannte via E-Mail auffordern.