QRishing ist eine Form des Phishing-Angriffs, bei der Hacker QR-Codes ausnutzen, um private Informationen zu stehlen, bösartige Software auf einem Gerät zu installieren oder eine Person auf eine unsichere Website zu leiten.
Wie funktionieren diese Angriffe? Wie können Sie vermeiden, Opfer eines QRishing-Angriffs zu werden?
Was ist QRishing?
QRishing nutzt die Tendenz von Telefonbenutzern, QR-Codes aus Neugier, Langeweile oder Notwendigkeit zu scannen.
Beispielsweise kann der Angreifer Flyer an einer Bushaltestelle oder auf Tischen in Restaurants oder Cafés hinterlassen. Wenn eine Person den QR-Code mit ihrem Telefon scannt und denkt, es handele sich um eine Anzeige oder ein Menü, wird unter anderem eine URL, ein Bild oder eine Karte mit Wegbeschreibungen zu einem Ort angezeigt.
Ab hier verlassen sich Betrüger auf soziale Entwicklung um Opfer dazu zu bringen, vertrauliche Informationen zu teilen. Hacker können auch Schwachstellen wie WebKit-Fehler in einem Browser ausnutzen, um das Gerät des Opfers zu übernehmen.
Wie funktioniert QRishing?
Natürlich würde nicht jeder einen zufälligen QR-Code ohne einen Anreiz oder eine Bildunterschrift scannen, die erklärt, was sie erwarten können. Daher finden Cyberkriminelle oft einen anderen Weg, um das Interesse der Menschen zu wecken.
Ändern Sie beliebte oder vertrauenswürdige QR-Codes
Ein Cyberkrimineller kann beispielsweise einen Flyer von einem bekannten Finanzinstitut oder einer Regierungsbehörde mitnehmen. Als nächstes ändern sie den QR-Code, behalten aber andere Details oder Designs bei und teilen den Flyer online. Sie können sie auch an öffentlichen Orten aufhängen, wo die Leute den QR-Code sehen und scannen können. Dieser besondere Trick wurde nach dem gut berichtet Coinbase QR-Code-Anzeige beim Super Bowl 2022 ging viral.
Gefälschte Flyer mit dem QR-Code einfügen
Hier kann ein Cyberkrimineller gefälschte Flyer mit einem QR-Code erstellen, um Personen, die sie scannen, auf eine Website zu leiten, auf der der Angreifer ihre Daten stehlen kann. Selbst wenn dieser Versuch fehlschlägt, kann der Angreifer immer noch Geräte- und Standortdaten aus dem Browser des Opfers sammeln. Schlimmer noch, ein entschlossener Angreifer könnte Browser-Fingerabdrücke verwenden, um ein Opfer online zu verfolgen.
Betten Sie den QR-Code in eine Betrugs-E-Mail ein
Diese Form von QRishing ist typischerweise Teil herkömmlicher E-Mail-Phishing-Methoden. Im Gegensatz zu verkürzten Hyperlinks wird beim Bewegen der Maus über einen QR-Code nicht die Ziel-URL angezeigt, also z Beispielsweise ist es für einen Betrüger einfach, einem potenziellen Opfer zu sagen, dass es einen QR-Code scannen soll, um eine Gewinnchance zu erhalten Geschenkkarte.
So vermeiden Sie QRishing
Das Scannen und Lesen eines QR-Codes erfordert meist zwei Dinge: eine Kamera und einen Browser, um den Informationen im QR-Code zu folgen. Da es so einfach ist, ist es auch einfach zu vermeiden, Opfer zu werden. Hier ist wie.
Blockieren Sie den Kamerazugriff auf Ihrem Telefon
Die meisten Menschen haben ihre Handykamera bereit, um wichtige Momente festzuhalten oder Videoanrufe zu tätigen. Das ist verständlich. Aber eine immer aktivierte Kamera kann es Ihnen auch leicht machen, einen QR-Code zu scannen, ohne darüber nachzudenken.
In Betracht ziehen Deaktivieren Sie Ihre iPhone-Kamera wenn es nicht benutzt wird. Eine schnelle Möglichkeit, dies zu tun, besteht darin, aus dem Benachrichtigungsbereich nach unten zu wischen und den Kamerazugriff zu blockieren. Der andere Weg ist zu navigieren Einstellungen > Apps > Berechtigungen. Sie können die Kamera dann deaktivieren oder so einstellen, dass sie jedes Mal nach Zugriffsberechtigungen fragt, wenn Sie die App verwenden möchten. Der Prozess ist für Android-Benutzer ähnlich.
Ohne Zweifel werden Sie diese Veränderung des Lebensstils spüren, besonders wenn Sie Ihre Kamera viel benutzen. Dennoch ist die gelegentliche Unannehmlichkeit des Deaktivierens und Aktivierens Ihrer Kamera die zusätzliche Sicherheit gegen QRishing und Apps von Drittanbietern wert, die auf Ihre Kamera zugreifen.
Halten Sie Ihre Software auf dem neuesten Stand
Hacker können ohne Ihr Wissen Software-Schwachstellen in Ihren Apps oder Ihrem Telefonbetriebssystem ausnutzen. Hacker können beispielsweise WebKit-Sicherheitslücken in Ihrem Browser ausnutzen, um Ihr Telefon, Tablet oder sogar Ihre Smartwatch zu hacken. Erwägen Sie, Ihre Geräte so einzustellen, dass Apps automatisch aktualisiert werden und Sicherheitsupdates installieren sobald sie verfügbar sind.
Vermeiden Sie es, vertrauliche Informationen online zu teilen
Das Scannen eines QR-Codes kann Sie zu einer Webseite oder einem Online-Formular weiterleiten, wo Sie aufgefordert werden, Informationen anzugeben B. Ihre Personaldaten, E-Mail-Adresse, Kontopasswörter oder Kartendaten, um einen fiktiven Preis zu gewinnen.
Als Faustregel sollten Sie vermeiden, persönliche Daten online zu teilen. Neben dem Risiko, dass Ihr Konto gehackt oder Geld gestohlen wird, können Cyberkriminelle auch die von Ihnen geteilten Daten verwenden stehlen Sie Ihre Identität.
Denken Sie nach, bevor Sie scannen
Sie müssen nicht jeden QR-Code scannen, der Ihnen präsentiert wird. Bleiben Sie skeptisch und scannen Sie nichts unnötig. In den meisten Fällen können Sie die Website oder das Menü eines Unternehmens überprüfen, indem Sie zuerst online danach suchen.
QRishing: Weniger verbreitet, aber immer einen Schritt voraus
QRishing ist weniger verbreitet als andere Arten von Phishing, da ein Angreifer einige Anstrengungen in die Verbreitung des bösartigen QR-Codes investieren müsste. Diese Form von Phishing ist jedoch relativ neu und nicht viele Menschen wissen davon, was bedeutet, dass Menschen leicht darauf hereinfallen können. Cyberkriminelle, die diese Angriffe durchführen, haben alles zu gewinnen und nichts zu verlieren.