QR- oder Quick-Response-Codes haben sich seit ihrer Einführung im Jahr 1994 rasant verbreitet und sind zu einem Bestandteil des täglichen Lebens geworden – ursprünglich zur Kennzeichnung von Teilen in der japanischen Automobilindustrie.
QR-Codes werden mittlerweile zur Validierung von Konzertkarten, zum Zugriff auf Online-Bestellsysteme in Restaurants und für eine ganze Reihe anderer praktischer Anwendungen verwendet, die den Alltag erleichtern. Mit zunehmender Nutzung von QR-Codes steigt jedoch auch deren Attraktivität für den Missbrauch durch Cyberkriminelle.
Wie zielen Betrüger mit QR-Codes auf Benutzer ab?
Abgesehen von ihrer Beliebtheit ist die für Kriminelle besonders attraktive Funktion von QR-Codes, dass sie vor dem Scannen eines Codes nicht wissen können, welche Daten darin enthalten sind. Verlinkt ein QR-Code also auf eine Website, können Nutzer erst dann herausfinden, auf welche Website sie verlinkt werden, wenn sie den Code bereits gescannt haben.
QR-Code-Phishing wird manchmal auch als „Quishing“ bezeichnet.
Während QR-Code-Betrügereien fast überall vorkommen können und passieren, wo ein QR-Code vorhanden sein kann, sind Codes, die in geschäftliche E-Mails eingebettet sind, ein wachsender Angriffsvektor. Viele geschäftliche E-Mail-Systeme verlassen sich darauf, den Inhalt eingehender E-Mails, einschließlich URLs, zu scannen, um schädliche Anhänge und Links zu erkennen und zu blockieren. Durch das Einfügen eines QR-Codes anstelle eines direkten Links können Kriminelle diese E-Mail-Filter vollständig umgehen und über eine E-Mail, die für Bedrohungserkennungssysteme völlig harmlos erscheint, einen schädlichen Link in das Postfach eines Benutzers einschleusen.
Benutzer auf eine weniger sichere Plattform verschieben
Neben der Umgehung von E-Mail-Filtern bieten QR-Code-basierte Betrügereien Kriminellen den zusätzlichen Vorteil, dass sie ihre Ziele von ihren Laptops, die mit größerer Wahrscheinlichkeit mit Business-Endpoint-Schutzsoftware ausgestattet sind, auf Mobilgeräte verlagern Geräte, die oft außerhalb der IT-Sicherheitssysteme des Unternehmens liegen und den Benutzern weniger Raum lassen, Inkonsistenzen in URLs oder Zielseiten zu erkennen.
Welche QR-Code-Vorlagen verfügbar sind
Wir haben zwanzig vorgefertigte Vorlagen für einige der häufigsten QR-Code-Quishing-Betrügereien erstellt, die Sie verwenden können. Mithilfe dieser Vorlagen können Sie Ihre Benutzer über die wahrscheinlichsten Formen von QR-Phishing aufklären und schulen, denen sie wahrscheinlich begegnen werden. Nachfolgend finden Sie ein Beispiel für eine der beliebtesten Vorlagen – die vollständige Liste finden Sie jedoch, indem Sie in der uPhish-E-Mail-Bibliothek nach „QR“ suchen.
Microsoft/Google MFA-Einrichtung
Bei vielen QR-Code-Betrügereien geht es um die Einrichtung einer Multi-Faktor-Authentifizierung, da Benutzer es gewohnt sind, diese mit QR-Codes einzurichten.
So fügen Sie einen QR-Code zu einer Simulations-E-Mail oder Vorlage hinzu
Im Builder können Sie einfach per Drag-and-Drop eine QR-Code-Kachel in Ihre E-Mail oder Vorlage ziehen. Der QR-Code wird automatisch mit der Domain verknüpft, die für die Simulation ausgewählt wurde, in der er verwendet wird.
So schulen Sie Benutzer in Bezug auf QR-Code-Betrug
Unser uLearn-Schulungsmodul „Schutz vor QR-Code-Phishing-E-Mails“ ist perfekt, um das Bewusstsein Ihrer Endbenutzer für die Risiken und Anzeichen von Quishing-Angriffen zu stärken. Sie können das Modul auch als „Inline-Training“ für Ihre Simulation verwenden, um das Training für gefährdete Benutzer zu verdoppeln.
So senden Sie Ihren Benutzern eine QR-Code-Phishing-Simulation
Sie können eine mit QR-Code ausgestattete Phishing-E-Mail an Ihre Benutzer senden, entweder über eine vorgefertigte Usecure-Vorlage oder durch die Erstellung einer neuen E-Mail.
Erstellen Sie eine neue Simulation in uPhish
Klicken Sie in der oberen Menüleiste auf uPhish - > Neue Simulation erstellen
Wählen Sie Ihre Zielseite aus
Verwenden Sie eine beliebige Zielseite, die zu Ihrer Organisation passt – zum Beispiel einen Microsoft 365- oder Google Workspace-Anmeldebildschirm.
Wählen Sie eine mit QR-Code ausgestattete Vorlage aus oder erstellen Sie Ihre eigene
Suchen Sie nach „QR“, um alle QR-fähigen Vorlagen zu finden, oder ziehen Sie sie per Drag-and-Drop einen QR-Block in eine benutzerdefinierte E-Mail.
Versenden Sie Ihre E-Mail und verfolgen Sie die Benutzerantwort
Der QR-Code in der E-Mail verknüpft Benutzer automatisch mit der Zielseite, die Sie beim Erstellen der Simulation ausgewählt haben.