Was ist QR-Phishing (Quishing)?

QR-Phishing, auch bekannt als QR-Code-Phishing oder „Quishing“, ist eine Weiterentwicklung der Phishing-Angriffe und bezeichnet einen Angriff, bei dem Cyberkriminelle bösartige QR-Codes in E-Mails oder Anhänge einbetten. Beim Scannen des QR-Codes werden die Opfer auf gefälschte Webseiten weitergeleitet, die aber echt aussehen. Meldet sich ein Nutzer an, werden seine Zugangsdaten gestohlen, was zu einer Kettenreaktion von Kompromittierungen sensibler Daten und schließlich zum Datendiebstahl führt.

Quishing-Angriffe sind effektiv, weil QR-Codes herkömmliche E-Mail-Sicherheitsmaßnahmen umgehen und das Vertrauen der Nutzer ausnutzen. Da es sich um eine neuere Art von Angriff handelt, sind sich die Nutzer der Bedrohungen durch QR-Codes im Allgemeinen weniger bewusst als bei verdächtigen Links, wodurch sie eher dazu neigen, sie zu scannen, ohne mögliche Sicherheitsprobleme zu berücksichtigen.

Durch einen von Barracuda veröffentlichten Bericht wurde bekannt, dass Forscher fast 670 Millionen E-Mails analysierten, in denen sie einige beunruhigende Trends entdeckten. 83 % der bösartigen Microsoft 365-Dokumente und 68 % der bösartigen PDFs enthalten jetzt QR-Codes, die zu Phishing-Websites führen. Quishing ist zu einer wichtigen Methode geworden, die Angreifer nutzen, um ihre Bedrohung zu verpacken.

Quishing-Angriffe sind überraschend unkompliziert, aber effektiv. Cyberkriminelle geben sich als bekannte Unternehmen wie Microsoft und Adobe aus und nutzen deren Markenbekanntheit, um das Vertrauen des Empfängers zu gewinnen. Aber das ist noch nicht alles - auch unternehmensinterne Abteilungen wie die Personalabteilung oder die Lohnbuchhaltung sind betroffen. Der Ton dieser E-Mails ist in der Regel dringlich; ein Passwort muss zurückgesetzt werden, die Personalabteilung benötigt Ihre aktualisierten Daten – alles, was Sie dazu veranlasst, schnell zu handeln, ohne darüber nachzudenken. 

Der bösartige QR-Code ist entweder direkt im E-Mail-Text eingebettet oder, wie es immer häufiger vorkommt, in einem angehängten PDF-Dokument. Die Verwendung von PDF-Dateien ist auf mehreren Ebenen strategisch, da PDFs im Geschäftsumfeld ein vertrauenswürdiges Dateiformat darstellen, wodurch die Nutzer weniger Bedenken beim Öffnen eines Anhangs haben. 

QR-Codes, die von mobilen Nutzern aufgerufen werden, stoßen seltener auf Widerstand von Unternehmens-Firewalls, da die Wahrscheinlichkeit größer ist, dass sich das Gerät außerhalb des Firmengeländes befindet, wenn der QR-Code gescannt wird. Die Erfolgschancen eines Angriffs sind viel größer, wenn die bösartige Website von einem privaten Gerät oder außerhalb des Unternehmensnetzwerks besucht wird, wo es keine Security-Kontrollen gibt, die den Zugriff blockieren. 

Sobald die Zugangsdaten eingegeben sind und der Nutzer versucht, sich einzuloggen, werden seine Anmeldedaten sofort von Bedrohungsakteuren erfasst.  Diese gestohlenen Zugangsdaten werden dann bei nachfolgenden Angriffen verwendet, bei denen der Nutzer dieselbe E-Mail-Adresse und dasselbe Passwort auf verschiedenen Seiten wiederverwendet hat, sodass der Angreifer Konten übernehmen, Geschäfts-E-Mails kompromittieren oder seitlich durch die Systeme der Organisation wechseln kann.

Quishing nimmt weiter Fahrt auf und entwickelt sich zu einer der am schnellsten wachsenden Phishing-Kampagnentechniken, die heutzutage von Cyberkriminellen eingesetzt werden.

Der Diebstahl von Zugangsdaten und die Übernahme von Konten (Account Takeovers, ATOs) sind die primären Ziele eines Quishing-Angriffs. Mit einem kompromittierten Mitarbeiterkonto verschaffen sich Angreifer Zugang zur Organisation und nutzen dieses als Ausgangspunkt für schwerwiegendere Angriffe. 

ATOs sind zu einer überraschend häufigen Vorfallsart geworden. Eine Barracuda-Studie zeigt, dass 22 % der Unternehmen in den vorangegangenen 12 Monaten einen Account-Takeover erlebt haben. Sobald ein Angreifer Zugriff auf ein Konto hat, kann er mit der Analyse von E-Mails beginnen und geeignete Ziele wie Stakeholder und Führungskräfte identifizieren. Von dort aus können sie, sobald geeignete Ziele gefunden wurden, mit dem Start überzeugender Spear-Phishing-Angriffe gegen andere Mitarbeiter beginnen. Angriffe dieser Art sind deshalb so effektiv, weil die E-Mail den Anschein erweckt, von einem Mitarbeiter des Unternehmens zu stammen, der das Vertrauen der Mitarbeiter ausnutzt, was zu weiteren gestohlenen Zugangsdaten führt. 

Geschäftsbereiche wie Finanzen, Gesundheitswesen und Bildung sind einem höheren Risiko ausgesetzt, da sie mit sensiblen Daten arbeiten. Wenn private medizinische Unterlagen gestohlen werden, kann es zu langwierigen Untersuchungen, Bußgeldern und sogar behördlichen Sanktionen kommen. Finanzinstitute laufen Gefahr, dass unautorisierte Überweisungen über kompromittierte Konten eingeleitet werden, was zu finanziellen Verlusten und Rufschädigung führt.

Wenn ein Quishing-Angriff erfolgreich ist, müssen IT- und Sicherheitsteams Systeme testen und Daten überprüfen, um unberechtigten Zugriff festzustellen. Die Untersuchung des Datenlecks, um weitere kompromittierte Konten zu finden, ist keine leichte Aufgabe und kann zu Produktivitätsverlusten und Arbeitsstunden führen, da Ressourcen für die Bereinigung umgeleitet werden müssen.

Es gibt mehrere Faktoren, die dazu geführt haben, dass die Plage des Quishing verbreiteter ist als je zuvor, wobei die Akzeptanz und Verbreitung von QR-Codes der offensichtlichste Faktor ist. QR-Codes werden scheinbar überall eingesetzt, von der Werbung bis hin zu Informationsplakaten, sodass das Scannen für die Menschen fast schon zur zweiten Natur geworden ist. Angreifer haben diese Verhaltensänderung bemerkt und sie schnell ausgenutzt.

Der Erfolg von Quishing beruht auf seiner Fähigkeit, unentdeckt zu bleiben. Die meisten sicheren E-Mail-Gateways (SEGs) sind so konfiguriert, dass sie nur Text, Links und Anhänge analysieren. QR-Codes sind Bilder ohne diese Eigenschaften, wodurch ein blinder Fleck entsteht. Dadurch können QR-Codes unentdeckt E-Mail-Filter passieren und in den Posteingängen ahnungsloser Nutzer landen.

Einige Security-Anbieter holen langsam auf und QR-Code-Scanning-Funktionen zu implementieren, was Bedrohungsakteure gezwungen hat, ihren Ansatz anzupassen. Angreifer verwenden heute ausgeklügelte Techniken wie geteilte QR-Codes, bei denen Fragmente von bösartigem Code über mehrere Bilder eingebettet werden. So können sie der Erkennung durch Security-Tools entgehen, aber sie können dennoch von ahnungslosen Opfern gescannt werden, die dann auf eine bösartige Website weitergeleitet werden. 

Verschachtelte QR-Codes verwenden eine andere Technik. Durch das Übereinanderlegen mehrerer QR-Codes in einem einzigen Bild können Cyberkriminelle einige E-Mail-Scanner täuschen, indem sie eine legitime URL in der Mitte des QR-Codes platzieren, während der schädliche Code um den Rand des Bildes herum angeordnet ist. Wenn ein Nutzer den QR-Code mit seinem Handy scannt, wird die schädliche URL aktiviert – der Nutzer wird auf eine Phishing-Website weitergeleitet.   

Quishing hat weitaus größere Erfolgsaussichten in Organisationen, in denen wenig Zeit dafür aufgewendet wird, die Nutzer über die potenziellen Gefahren des Scannens nicht verifizierter QR-Codes aufzuklären. Um der Popularität des Quishing Einhalt zu gebieten, müssen Security und -richtlinien aktualisiert werden. Ungeschulte Nutzer sind das schwächste Glied in der Kette, und wenn der Trend des Quishings eingedämmt werden soll, müssen die Sicherheitsrichtlinien einen proaktiven Schulungsansatz zur Aufklärung der Nutzer verfolgen.

In der Praxis zeigen sich die Wirksamkeit solcher Kampagnen, indem sie das Vertrauen der Nutzer ausnutzen und sie mit Dringlichkeit unter Druck setzen. Im Folgenden finden Sie einige Beispiele für Quishing-Angriffe, die im BARRACUDA 2025 E-Mail-Bedrohungsbericht hervorgehoben wurden.

Microsoft-Identitätsmissbrauch

Es ist nicht überraschend, dass die Marke Microsoft häufig zur Abwehr von Angriffen missbraucht wird. Die Microsoft 365-Dienste stellen dabei in rund 51 % aller von BARRACUDA analysierten Angriffe die Hauptidentität für Spoofing dar. In diesen E-Mails werden die Nutzer häufig aufgefordert, ihre Konten zu bestätigen oder ihre Passwörter zurückzusetzen, indem sie einen in einem PDF-Dokument eingebetteten QR-Code scannen. Der Link leitet auf eine gefälschte Webseite weiter, auf der Benutzerzugangsdaten für ATO-Angriffe gestohlen werden, sobald sie zum Einloggen auf die Seite verwendet werden.

Bitcoin-Sextortion-Betrug 

Diese Art von Betrug tauchte in rund 12 % der bösartigen PDFs in der Untersuchung von Barracuda auf. Eine Erpressung ist eine bedrohliche E-Mail, die von Angreifern verschickt wird, die behaupten, sehr persönliche, kompromittierende Informationen über einen Nutzer zu besitzen, und damit drohen, diese zu veröffentlichen, sofern keine Zahlung erfolgt, meist in Bitcoin. Der QR-Code wird als Anhang gesendet, den der Nutzer scannen muss, um das Lösegeld zu zahlen.

Identitätsmissbrauch über die HR-Lohnabrechnung

Cyberkriminelle geben sich als Mitarbeiter der Personal- oder Gehaltsabrechnungsabteilung aus und versenden E-Mails, in denen sie die Mitarbeiter auffordern, ihre persönlichen Daten, wie z. B. Bankverbindungen für die Gehaltsabrechnung oder andere finanziell relevante Informationen, zu aktualisieren. Der QR-Code führt den Nutzer zu einer gefälschten Website, die ein internes Portal nachahmt. Wird der QR-Code über ein Mobilgerät aufgerufen, während der Nutzer nicht mit dem Unternehmensnetzwerk verbunden ist, dann sind die Erfolgsaussichten viel höher, da keine Sicherheitsprüfungen die Verbindung unterbrechen. Wenn der Nutzer versucht, sich mit seinen Zugangsdaten anzumelden, speichern die Angreifer den Benutzernamen und das Passwort, um Zugang zum Netzwerk der Organisation zu erhalten. Von dort aus können weitere Angriffe gestartet werden, die es den Cyberkriminellen ermöglichen, sich im Netzwerk einzunisten.

Fortgeschrittene Umgehungstechniken 

Phishing-as-a-Service-(PhaaS)-Plattformen wie das Gabagool PhaaS-Kit verwenden geteilte QR-Codes, um E-Mail-Scanner zu umgehen, was das Abfangen der QR-Codes erschwert. Die Tycoon 2FA-Plattform verwendet verschachtelte QR-Codes - legitime QR-Codes mit bösartigen Inhalten, die entweder um sie herum oder in sie eingebettet sind. Diese Technik verwirrt auch Mail-Scanner und ermöglicht es diesen bösartigen Nutzlasten manchmal, in den Posteingang eines Nutzers zu gelangen. 

Die Abwehr von Quishing-Angriffen erfordert eine Verteidigung an mehreren Fronten. Schulungen zur User Awareness, erweiterte Security und bessere Richtlinien müssen Hand in Hand arbeiten, um dieser zunehmenden Bedrohung Einhalt zu gebieten. 

• Erweiterte E-Mail-Sicherheitstools: Sie nutzen moderne E-Mail-Sicherheitsplattformen, die QR-Codes mit KI scannen und darstellen und deren Nutzdaten in sicheren Umgebungen analysieren, um schädliche Links zu erkennen, bevor sie den Nutzer erreichen.
• Nutzerbildung und Schulung zur Stärkung des Risikobewusstseins: Nutzer müssen darin geschult werden, Quishing-Warnsignale zu erkennen und klar definierte Meldekanäle für verdächtige E-Mails mit QR-Codes zu haben.
• E-Mail-Authentifizierungsprotokolle: Verbessern den Schutz vor E-Mail-Spoofing mit DKIM, SPF und DMARC, um die Identität des Absenders zu überprüfen und die Verwendung verdächtiger Domains zu blockieren. 
• Multifaktor-Authentifizierung (MFA): Stärken die Verteidigung mit MFA, um Account Takeovers zu verhindern. Selbst mit gestohlenen Zugangsdaten benötigen Angreifer einen zweiten Authentifizierungsfaktor, um die Anmeldeautorisierung fortzusetzen.
• Verifizierungsprozesse: Mitarbeiter sollten verpflichtet werden, verdächtige Anfragen über einen alternativen Kanal zu überprüfen, bevor sie QR-Codes scannen, insbesondere wenn es sich um Finanzinformationen oder sensible Unternehmensdaten handelt.
• Kontinuierliche Überwachung und Incident Response: Setzen Sie Incident Response -Teams und -Systeme ein, um Hinweise auf Kompromittierung (IOC) zu erkennen, mit Protokollen zur automatischen Sperrung von Konten, Passwort-Zurücksetzungsanfragen und zum Beenden von Sitzungen bei verdächtigen Logins.

Quishing ist ein ernstes Problem, das immer mehr an Bedeutung gewinnt – aber es ist nur eine von vielen sich entwickelnden Bedrohungen, die derzeit die E-Mail-Sicherheit plagen. Da Kriminelle ständig neue Techniken entwickeln, die traditionelle Verteidigungsmechanismen umgehen, müssen Organisationen aktiv weiterentwickelte Sicherheitslösungen einsetzen, die mithalten können.

Der E-Mail-Schutz von BARRACUDA nutzt KI-gestützte Bedrohungserkennung und Echtzeitüberwachung zum Schutz vor Quishing und anderen ausgeklügelten Angriffen. Es verwendet multimodale KI, die E-Mail-Inhalte, Anhänge und eingebettete Objekte (einschließlich QR-Codes) analysiert, um Bedrohungen zu erkennen, die von herkömmlichen Filtern übersehen werden.

Laden Sie den E-Mail-Bedrohungsbericht 2025 herunter, um detailliertere Einblicke in die aktuelle Bedrohungslandschaft zu erhalten, oder starten Sie eine kostenlose Testversion, um zu sehen, wie Barracuda Email Protection Ihr Unternehmen vor Quishing-Angriffen schützen kann.