QR-Code-Phishing (Quishing)

What Is QR-Code-Phishing (Quishing)?

Eine E-Mail mit Firmenlogo landet in Ihrem Posteingang. Betreffzeile: Obligatorisches Sicherheitsupgrade. Die Nachricht erläutert eine neue Einführung der Multi-Faktor-Authentifizierung und enthält einen QR-Code für die schnelle mobile Einrichtung. Die Absenderadresse entspricht Ihrer IT-Abteilung. Das Branding ist pixelgenau. Sie scannen den Code mit Ihrem Telefon. Genau darauf setzen die Angreifer. QR-Codes wandeln URLs in Bilder um, was bedeutet, dass E-Mail-Sicherheitsfilter, die textbasierte Links scannen, das schädliche Ziel nie erkennen. Ihr Telefon öffnet eine Anmeldeseite, die identisch mit dem SSO-Portal Ihres Unternehmens aussieht. Sie geben Ihre Anmeldeinformationen auf einem kleineren Bildschirm ein, wo die URL-Prüfung schwieriger ist. Der Angreifer hat nun Ihren Benutzernamen und Ihr Passwort. Hoxhunt meldete im Jahr 2023 einen Anstieg der QR-Code-Phishing-Angriffe um 587 %. Die Technik ist effektiv, weil sie eine Lücke zwischen Geräten ausnutzt. Ihr Laptop verfügt über Endpunktschutz, E-Mail-Filterung und Browser-Sicherheitserweiterungen. Ihr privates Telefon hat wahrscheinlich nichts davon. Durch die Verlagerung des Angriffs von Ihrem Arbeitscomputer auf Ihr Mobilgerät umgehen Angreifer den gesamten Sicherheitsstapel des Unternehmens. In dieser Übung erhalten Sie eine realistische Quiking-E-Mail und gehen die gesamte Angriffskette durch. Sie lernen, QR-Code-Ziele vor dem Scannen in der Vorschau anzuzeigen, IT-Kommunikation über offizielle Kanäle zu überprüfen und die verräterischen Zeichen zu erkennen, die einen legitimen QR-basierten Workflow von einem Vorgang zum Sammeln von Anmeldeinformationen unterscheiden.

What You'll Learn in QR-Code-Phishing (Quishing)

• Erklären Sie, wie QR-Codes herkömmliche E-Mail-Sicherheitsfilter und URL-Scans umgehen
• Identifizieren Sie die Warnzeichen einer Phishing-E-Mail, die QR-Codes anstelle anklickbarer Links verwendet
• Wenden Sie mobile URL-Inspektionstechniken an, bevor Sie Anmeldeinformationen auf einem Telefon eingeben
• Erkennen Sie geräteübergreifende Angriffsstrategien, die Lücken zwischen Unternehmens- und Privatsicherheit ausnutzen
• Demonstrieren Sie ordnungsgemäße Überprüfungsverfahren für unerwartete IT-Kommunikation

QR-Code-Phishing (Quishing) — Training Steps

1. Ein Routine-Mittwoch

   Es ist Mittwochmorgen. Sie haben es sich gerade mit einem Kaffee in Ihrem Heimbüro gemütlich gemacht und Ihren Laptop geöffnet, um nach Nachrichten über Nacht zu suchen.

2. Eine dringende Sicherheits-E-Mail

   Es kommt eine neue E-Mail von scheinbar dem IT-Sicherheitsteam. Die Betreffzeile lautet „Obligatorisch: Migration der Multi-Faktor-Authentifizierung – Maßnahmen bis Freitag erforderlich.“

3. Scannen des QR-Codes

   Die E-Mail sieht offiziell aus und die Frist ist nur noch zwei Tage entfernt. Alice greift zu ihrem Telefon, um den QR-Code zu scannen. Sie geht davon aus, dass dies schneller geht als das Navigieren durch IT-Portale.

4. Den Link öffnen

   Der QR-Scanner des Telefons erkennt eine URL: http://veranthos-security.net/verify. Alice tippt auf „Im Browser öffnen“, ohne die URL genau zu prüfen – schließlich stammte sie aus einer IT-Sicherheits-E-Mail.

5. Das gefälschte MFA-Portal

   Der mobile Browser öffnet sich scheinbar zu einem MFA-Migrationsportal von Veranthos Solutions. Die Seite verwendet das grüne Branding des Unternehmens, verfügt über ein Schildsymbol und fordert Alice auf, „ihre Identität zu bestätigen“, indem sie ihre Arbeitsdaten eingibt, bevor sie mit der MFA-Einrichtung fortfährt. Das professionelle Erscheinungsbild lässt es seriös erscheinen – doch die URL in der Adressleiste erzählt eine andere Geschichte.

6. Etwas ist schief gelaufen

   Nachdem sie ihre Anmeldeinformationen übermittelt hat, wird auf der Seite eine Fehlermeldung angezeigt: „MFA-Migrationsdienst vorübergehend nicht verfügbar. Bitte versuchen Sie es später erneut.“ Alice ist frustriert, geht aber davon aus, dass es sich um ein vorübergehendes Serverproblem handelt. Sie nimmt sich vor, es morgen noch einmal zu versuchen und kehrt zu ihrer Arbeit zurück.

7. Sicherheitswarnung

   Zwei Tage später erhält Alice eine dringende E-Mail vom Veranthos Solutions Security Operations Center.

8. Die Punkte verbinden

   Alice verspürt ein Gänsehautgefühl, als sie die Zusammenhänge miteinander verbindet – die MFA-Migrations-E-Mail, den QR-Code, die Zugangsdaten, die sie in diesem „Verifizierungsportal“ eingegeben hat. Es war kein Serverfehler. Es war eine Falle. Der QR-Code in der E-Mail führte den Browser ihres Telefons zu einer gefälschten Veranthos-Anmeldeseite, auf der ihre Anmeldedaten erfasst wurden. Die Angreiferin hatte nun vollen Zugriff auf ihr Konto.

9. Warnsignale – Die E-Mail

   Gehen wir noch einmal zurück und betrachten die ursprüngliche Phishing-E-Mail mit neuen Augen. Mehrere rote Fahnen waren gut sichtbar versteckt.

10. Rote Fahnen – Das Telefon

    Schauen wir uns nun die Phishing-Seite an, die Alice auf ihrem Telefon besucht hat. Die URL und das Protokoll weisen deutliche Anzeichen einer betrügerischen Website auf.