Unter Cyber-Kriminellen wird eine Variante des Phishings immer beliebter: das „Quishing“, sprich das Phishing mittels bösartigem QR-Code. Eingebettet in Phishing-E-Mails finden sich immer häufiger QR-Code-Bilder, da der Cyber-Crime-Szene bewusst geworden ist, dass sich die Abbildungen hervorragend eignen, um ihre bösartigen Absichten zu verschleiern. Vor dem Einscannen eines QR-Codes gibt es praktisch keine Möglichkeit, den Code auf einen Blick als bösartig zu identifizieren. Da zusätzlich bei Anwendern QR-Codes nicht als Bedrohung angesehen werden, ist die Nutzer-Bereitschaft hoch, einen solchen Code einzuscannen. Da die von kriminellen eingesetzten geklonten betrügerischen Websites, auf die so ein Code verlinkt, immer besser werden, besteht für Nutzer die beste Chance, den Betrug zu bemerken und dem Phishing-Versuch „nicht auf den Leim zu gehen“ darin, mit großer Sorgfalt die Absender-Adresse einer E-Mail zu überprüfen, wenn eine Mail per QR-Code zum Besuch einer Website drängt – oder direkt unabhängig von der E-Mail zu der angegebenen Website zu surfen und so zu kontrollieren, ob es sich um ein legitimes Anliegen handelt.
Mehrere Cyber-Sicherheitsanbieter warnen aktuell vor bösartigen Quishing-Kampagnen. So hat auch der Sicherheitsanbieter Check Point eine Zunahme von Attacken per Phishing-E-Mail mit QR-Code-Abbildung festgestellt. Der israelische Cyber-Security-Anbieter veröffentlichte auch ein konkretes Beispiel für einen solchen Angriff, bei dem die Hacker einen QR-Code erstellt hatten, der zu einer Seite führt, die den Microsoft Anmeldeprozess imitiert. Der Inhalt der Phishing-E-Mail behauptet, die Microsoft Multi-Faktor-Authentifizierung des Nutzers laufe ab und er müsse sich deshalb erneut authentifizieren. Um Security-Tools zu täuschen, die über Fähigkeiten zur Sprachanalyse verfügen, ist der Text der E-Mail als Bild eingebettet. Und auch der bösartige QR-Code selbst stellt eine Herausforderung für Security-Tools dar, denn in die optische Zeichenerkennung (OCR) des Tools muss eine Funktion zur QR-Code-Erkennung integriert sein, die den Code in die darin verlinkte URL „übersetzt“, damit diese dann durch URL-Analysetools auf Bedrohungen gecheckt werden kann. Aus diesem Grund raten die Sicherheitsforscher von Check Point dazu, wenn eine E-Mail einen QR-Code enthält, sehr genau auf den Absender zu achten und im Zweifelsfall die jeweilige Website lieber direkt aufzurufen.
