QR- oder Quick-Response-Codes haben sich seit ihrer Einführung im Jahr 1994 rasant verbreitet und sind zu einem Bestandteil des täglichen Lebens geworden – ursprünglich zur Kennzeichnung von Teilen in der japanischen Automobilindustrie.

QR-Codes werden mittlerweile zur Validierung von Konzertkarten, zum Zugriff auf Online-Bestellsysteme in Restaurants und für eine ganze Reihe anderer praktischer Anwendungen verwendet, die den Alltag erleichtern. Mit zunehmender Nutzung von QR-Codes steigt jedoch auch deren Attraktivität für den Missbrauch durch Cyberkriminelle.

Abgesehen von ihrer Beliebtheit ist die für Kriminelle besonders attraktive Funktion von QR-Codes, dass sie vor dem Scannen eines Codes nicht wissen können, welche Daten darin enthalten sind. Verlinkt ein QR-Code also auf eine Website, können Nutzer erst dann herausfinden, auf welche Website sie verlinkt werden, wenn sie den Code bereits gescannt haben.

QR-Code-Phishing wird manchmal auch als „Quishing“ bezeichnet.

Während QR-Code-Betrügereien fast überall vorkommen können und passieren, wo ein QR-Code vorhanden sein kann, sind Codes, die in geschäftliche E-Mails eingebettet sind, ein wachsender Angriffsvektor. Viele geschäftliche E-Mail-Systeme verlassen sich darauf, den Inhalt eingehender E-Mails, einschließlich URLs, zu scannen, um schädliche Anhänge und Links zu erkennen und zu blockieren. Durch das Einfügen eines QR-Codes anstelle eines direkten Links können Kriminelle diese E-Mail-Filter vollständig umgehen und über eine E-Mail, die für Bedrohungserkennungssysteme völlig harmlos erscheint, einen schädlichen Link in das Postfach eines Benutzers einschleusen.

Neben der Umgehung von E-Mail-Filtern bieten QR-Code-basierte Betrügereien Kriminellen den zusätzlichen Vorteil, dass sie ihre Ziele von ihren Laptops, die mit größerer Wahrscheinlichkeit mit Business-Endpoint-Schutzsoftware ausgestattet sind, auf Mobilgeräte verlagern Geräte, die oft außerhalb der IT-Sicherheitssysteme des Unternehmens liegen und den Benutzern weniger Raum lassen, Inkonsistenzen in URLs oder Zielseiten zu erkennen.

Wir haben zwanzig vorgefertigte Vorlagen für einige der häufigsten QR-Code-Quishing-Betrügereien erstellt, die Sie verwenden können. Mithilfe dieser Vorlagen können Sie Ihre Benutzer über die wahrscheinlichsten Formen von QR-Phishing aufklären und schulen, denen sie wahrscheinlich begegnen werden. Nachfolgend finden Sie ein Beispiel für eine der beliebtesten Vorlagen – die vollständige Liste finden Sie jedoch, indem Sie in der uPhish-E-Mail-Bibliothek nach „QR“ suchen.

Microsoft/Google MFA-Einrichtung

Bei vielen QR-Code-Betrügereien geht es um die Einrichtung einer Multi-Faktor-Authentifizierung, da Benutzer es gewohnt sind, diese mit QR-Codes einzurichten.

Und 19 weitere Vorlagen warten auf Sie für dich...

Im Builder können Sie einfach per Drag-and-Drop eine QR-Code-Kachel in Ihre E-Mail oder Vorlage ziehen. Der QR-Code wird automatisch mit der Domain verknüpft, die für die Simulation ausgewählt wurde, in der er verwendet wird.

Erstellen Sie einen QR-Code Simulation mit uPhish.

Unser uLearn-Schulungsmodul „Schutz vor QR-Code-Phishing-E-Mails“ ist perfekt, um das Bewusstsein Ihrer Endbenutzer für die Risiken und Anzeichen von Quishing-Angriffen zu stärken. Sie können das Modul auch als „Inline-Training“ für Ihre Simulation verwenden, um das Training für gefährdete Benutzer zu verdoppeln.

Senden Stellen Sie Ihren Benutzern jetzt das QR-Schulungsmodul zur Verfügung.

Sie können eine mit QR-Code ausgestattete Phishing-E-Mail an Ihre Benutzer senden, entweder über eine vorgefertigte Usecure-Vorlage oder durch die Erstellung einer neuen E-Mail.

​ Die vollständigen Schritte mit Screenshots finden Sie hier.
​