Cyberkriminalität erlebt einen Innovationsschub: Die sogenannte „Quishing“-Methode nutzt QR-Codes, um die Verteidigungslinien von Unternehmen zu überwinden und Kunden zur Preisgabe ihrer finanziellen Daten zu bewegen. Banken wie Santander, HSBC und TSB warnen nun gemeinsam mit dem britischen National Cyber Security Centre und der US-amerikanischen Federal Trade Commission vor der Zunahme solcher betrügerischen Strategien.
Diese neuartigen E-Mail-Betrugskampagnen versenden häufig QR-Codes in angehängten PDF-Dokumenten. Experten zufolge sind diese besonders effektiv, da sie übliche Unternehmensfilter für Cybersecurity unbemerkt passieren – Filter, die bösartige Links normalerweise erkennen, jedoch selten Bildinhalte von Anhängen prüfen.
Die Herausforderung, die Kosten des „Quishing“ zu beziffern, liegt laut Forschern und Betrugsmanagern darin, dass entsprechende Logsysteme fehlen und E-Mails oft nur ein Element einer umfassenderen Cyberattacke darstellen. Untersuchungen von IBM zeigen, dass Phishing-Angriffe weltweit immer kostenintensiver werden, mit einem Anstieg der durchschnittlichen Kosten einer Datenpanne um fast 10 Prozent auf 4,9 Millionen US-Dollar bis 2024.
QR-Codes, ursprünglich von der japanischen Firma Denso Wave zur Verfolgung von Autoteilen entwickelt, können URLs oder Zahlungsinformationen enthalten. Obwohl Smartphones heutzutage eine Vorschau der URL bieten, reicht dies oft nicht aus, um Betrug zu erkennen. Cyber-Security-Experten betonen das Risiko: QR-Codes sind visuell schwer zu entschlüsseln, und Nutzer erkennen meist zu spät die Gefahr.
Besonders seit der Covid-19-Pandemie, in der QR-Codes weit verbreitet waren, hat sich die Häufigkeit solcher Betrugsfälle beschleunigt, berichtet Steph Harrison von TSB. Eine Umfrage von McAfee ergab im Mai, dass ein Fünftel aller Online-Betrugsfälle in Großbritannien vermutlich von QR-Codes ausgehen.
Doch die Bedrohung geht über einfache E-Mails hinaus: Von falschen QR-Codes zum Bezahlen von Parkgebühren bis hin zu gefälschten Codes an Ladesäulen für E-Fahrzeuge und in Restaurants, die Bandbreite ist groß. Betroffene riskieren nicht nur finanzielle Verluste, sondern auch Strafen für das Nichtbeachten von Vorschriften – etwa für nicht gezahlte Parkgebühren.
Für die Cyber-Sicherheitsindustrie bedeutet diese Entwicklung, dass sie ihre Verteidigungsstrategien anpassen muss. Experten wie Chester Wisniewski von Sophos sehen eine potenzielle Verteuerung und Verlangsamung von E-Mail-Diensten, sollte diese Herausforderung nicht effektiv adressiert werden.