Zum Hauptinhalt springen
Alle KollektionenuPhish
Senden Sie simulierte QR-Code-Angriffe an Ihre Benutzer
Senden Sie simulierte QR-Code-Angriffe an Ihre Benutzer

Testen Sie mit uPhish die Reaktion der Benutzer auf Phishing-E-Mails, die mit QR-Codes versehen sind.

Bruno Pinto avatar
Verfasst von Bruno Pinto
Vor über 10 Monaten aktualisiert

QR- oder Quick-Response-Codes haben sich seit ihrer Einführung im Jahr 1994 rasant verbreitet und sind zu einem Bestandteil des täglichen Lebens geworden – ursprünglich zur Kennzeichnung von Teilen in der japanischen Automobilindustrie.

QR-Codes werden mittlerweile zur Validierung von Konzertkarten, zum Zugriff auf Online-Bestellsysteme in Restaurants und für eine ganze Reihe anderer praktischer Anwendungen verwendet, die den Alltag erleichtern. Mit zunehmender Nutzung von QR-Codes steigt jedoch auch deren Attraktivität für den Missbrauch durch Cyberkriminelle.


Wie zielen Betrüger mit QR-Codes auf Benutzer ab?

Abgesehen von ihrer Beliebtheit ist die für Kriminelle besonders attraktive Funktion von QR-Codes, dass sie vor dem Scannen eines Codes nicht wissen können, welche Daten darin enthalten sind. Verlinkt ein QR-Code also auf eine Website, können Nutzer erst dann herausfinden, auf welche Website sie verlinkt werden, wenn sie den Code bereits gescannt haben.

QR-Code-Phishing wird manchmal auch als „Quishing“ bezeichnet.

Während QR-Code-Betrügereien fast überall vorkommen können und passieren, wo ein QR-Code vorhanden sein kann, sind Codes, die in geschäftliche E-Mails eingebettet sind, ein wachsender Angriffsvektor. Viele geschäftliche E-Mail-Systeme verlassen sich darauf, den Inhalt eingehender E-Mails, einschließlich URLs, zu scannen, um schädliche Anhänge und Links zu erkennen und zu blockieren. Durch das Einfügen eines QR-Codes anstelle eines direkten Links können Kriminelle diese E-Mail-Filter vollständig umgehen und über eine E-Mail, die für Bedrohungserkennungssysteme völlig harmlos erscheint, einen schädlichen Link in das Postfach eines Benutzers einschleusen.

Benutzer auf eine weniger sichere Plattform verschieben

Neben der Umgehung von E-Mail-Filtern bieten QR-Code-basierte Betrügereien Kriminellen den zusätzlichen Vorteil, dass sie ihre Ziele von ihren Laptops, die mit größerer Wahrscheinlichkeit mit Business-Endpoint-Schutzsoftware ausgestattet sind, auf Mobilgeräte verlagern Geräte, die oft außerhalb der IT-Sicherheitssysteme des Unternehmens liegen und den Benutzern weniger Raum lassen, Inkonsistenzen in URLs oder Zielseiten zu erkennen.


Welche QR-Code-Vorlagen verfügbar sind

Wir haben zwanzig vorgefertigte Vorlagen für einige der häufigsten QR-Code-Quishing-Betrügereien erstellt, die Sie verwenden können. Mithilfe dieser Vorlagen können Sie Ihre Benutzer über die wahrscheinlichsten Formen von QR-Phishing aufklären und schulen, denen sie wahrscheinlich begegnen werden. Nachfolgend finden Sie ein Beispiel für eine der beliebtesten Vorlagen – die vollständige Liste finden Sie jedoch, indem Sie in der uPhish-E-Mail-Bibliothek nach „QR“ suchen.

Microsoft/Google MFA-Einrichtung

Bei vielen QR-Code-Betrügereien geht es um die Einrichtung einer Multi-Faktor-Authentifizierung, da Benutzer es gewohnt sind, diese mit QR-Codes einzurichten.


So fügen Sie einen QR-Code zu einer Simulations-E-Mail oder Vorlage hinzu

Im Builder können Sie einfach per Drag-and-Drop eine QR-Code-Kachel in Ihre E-Mail oder Vorlage ziehen. Der QR-Code wird automatisch mit der Domain verknüpft, die für die Simulation ausgewählt wurde, in der er verwendet wird.


So schulen Sie Benutzer in Bezug auf QR-Code-Betrug

Unser uLearn-Schulungsmodul „Schutz vor QR-Code-Phishing-E-Mails“ ist perfekt, um das Bewusstsein Ihrer Endbenutzer für die Risiken und Anzeichen von Quishing-Angriffen zu stärken. Sie können das Modul auch als „Inline-Training“ für Ihre Simulation verwenden, um das Training für gefährdete Benutzer zu verdoppeln.


So senden Sie Ihren Benutzern eine QR-Code-Phishing-Simulation

Sie können eine mit QR-Code ausgestattete Phishing-E-Mail an Ihre Benutzer senden, entweder über eine vorgefertigte Usecure-Vorlage oder durch die Erstellung einer neuen E-Mail.

  1. Erstellen Sie eine neue Simulation in uPhish
    Klicken Sie in der oberen Menüleiste auf uPhish - > Neue Simulation erstellen

  2. Wählen Sie Ihre Zielseite aus
    Verwenden Sie eine beliebige Zielseite, die zu Ihrer Organisation passt – zum Beispiel einen Microsoft 365- oder Google Workspace-Anmeldebildschirm.

  3. Wählen Sie eine mit QR-Code ausgestattete Vorlage aus oder erstellen Sie Ihre eigene
    Suchen Sie nach „QR“, um alle QR-fähigen Vorlagen zu finden, oder ziehen Sie sie per Drag-and-Drop einen QR-Block in eine benutzerdefinierte E-Mail.

  4. Versenden Sie Ihre E-Mail und verfolgen Sie die Benutzerantwort
    Der QR-Code in der E-Mail verknüpft Benutzer automatisch mit der Zielseite, die Sie beim Erstellen der Simulation ausgewählt haben.


Nächste Schritte

Hat dies Ihre Frage beantwortet?