Quishing-Angriffe: FBI warnt vor neuer Cyber-Bedrohung
Cyberkriminelle nutzen gespaltene QR-Codes und unerwünschte Pakete für Phishing-Angriffe, die herkömmliche Schutzmaßnahmen umgehen und zu Datenverlusten führen können.
Cyberkriminelle setzen auf raffinierte QR-Code-Tricks, um Sicherheitssysteme zu überlisten. Die neuesten “Quishing”-Attacken spalten bösartige Codes auf oder verstecken sie in legitimen Barcodes – und umgehen so herkömmliche Schutzmaßnahmen.
Das FBI und Cybersecurity-Experten schlagen Alarm: Eine neue Generation von Phishing-Angriffen bedroht Verbraucher und Unternehmen gleichermaßen. Die Angreifer nutzen dabei geschickt getarnte QR-Codes, um sensible Daten abzugreifen. Besonders perfide: Kriminelle verschicken unaufgefordert Pakete an Privatpersonen, die mit manipulierten QR-Codes bestückt sind.
Gespaltene QR-Codes überlisten Scanner
Die neuen Quishing-Kampagnen zeigen bemerkenswerte technische Raffinesse. Sicherheitsforscher von Barracuda Networks berichten von einer Methode namens “Gabagool”: Angreifer teilen einen einzigen QR-Code in zwei separate Bilddateien auf. Während Sicherheitsscanner nur zwei harmlose, unvollständige Bilder erkennen, fügt das E-Mail-Programm des Empfängers sie zu einem scannbaren Code zusammen.
Eine weitere Technik der “Tycoon”-Plattform versteckt bösartige QR-Codes in legitimen Codes. Der äußere Teil führt zu einer Schad-URL, während ein kleinerer innerer Code auf vertrauenswürdige Seiten wie Google verweist. Diese Verschachtelung verwirrt sowohl Nutzer als auch Sicherheitssoftware.
Unerwünschte Pakete als neue Betrugsmasche
Federal-Behörden warnen eindringlich vor einer beunruhigenden Entwicklung: Kriminelle versenden Pakete ohne Absenderangabe direkt an Privatpersonen. Diese enthalten QR-Codes, die angeblich Aufschluss über den Inhalt geben sollen. Das Scannen führt jedoch zu Malware-Downloads oder gefälschten Login-Seiten.
Parallel dazu nutzen Betrüger verstärkt Künstliche Intelligenz für täuschend echte Phishing-E-Mails. Diese imitieren perfekt Sprache und Tonfall vertrauenswürdiger Führungskräfte oder Institutionen. Phishing bleibt mit 36 Prozent der häufigste Einstiegsweg für Datenschutzverletzungen.
Mehrkanalige Angriffe auf dem Vormarsch
Vorbei sind die Zeiten, in denen Phishing nur per E-Mail funktionierte. Aktuelle Berichte zeigen: 41 Prozent aller Phishing-Vorfälle nutzen bereits mehrere Kanäle gleichzeitig. Kriminelle kombinieren SMS-Nachrichten, Anrufe mit geklonten Stimmen und QR-Codes zu überzeugenden Betrugsmaschen.
Diese Strategie nutzt eine Schwachstelle aus: Mobile Geräte sind oft schlechter geschützt als Unternehmensnetzwerke. Etwa 80 Prozent aller Phishing-Kampagnen zielen auf Login-Daten ab, besonders für Cloud-Dienste wie Microsoft 365. Die durchschnittlichen Kosten einer Phishing-bedingten Datenpanne erreichen mittlerweile 4,3 Millionen Euro.
Anzeige: Passend zum Thema mobile Sicherheit: Viele Angriffe zielen inzwischen auf Smartphones – besonders über QR-Codes, SMS und gefälschte Anrufe. Der kostenlose Ratgeber zeigt die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Handy, Schritt für Schritt und ohne teure Zusatz‑Apps – ideal für WhatsApp, Online‑Banking und Shopping. Sichern Sie jetzt Ihre Daten mit praktischen Checklisten und geprüften Einstellungen. Kostenloses Android‑Sicherheitspaket herunterladen
Paradigmenwechsel bei der Bedrohungserkennung
Die Evolution des Quishing markiert einen Wendepunkt in der Cybersicherheit. Herkömmliche E-Mail-Sicherheitssysteme sind darauf programmiert, verdächtige Links oder Anhänge zu identifizieren – fragmentierte QR-Codes in Bildern entgehen jedoch ihrer Aufmerksamkeit.
“Diese neuesten Techniken umgehen Standard-Erkennungssysteme und nutzen Marken-Vertrauen sowie Dringlichkeitstaktiken aus”, warnen Forscher. Phishing-as-a-Service-Plattformen demokratisieren zudem die Cyberkriminalität: Auch weniger versierte Akteure können nun hochentwickelte Angriffe starten.
Wettrüsten verschärft sich weiter
Experten erwarten eine Beschleunigung des technologischen Wettrüstens. Während Sicherheitstools besser werden, entwickeln Angreifer bereits neue Verschleierungstechniken. Generative KI wird künftig noch realistischere Phishing-Köder erschaffen – bis hin zu Deepfake-Videos für Identitätsdiebstahl.
Die Gegenmaßnahme: gesunde Skepsis kultivieren. Sicherheitsexperten raten, alle unaufgeforderten QR-Codes mit Misstrauen zu betrachten. Vor dem Scannen sollten Nutzer die URL überprüfen und niemals sofort Login-Daten auf verlinkten Seiten eingeben. Nur durch mehrstufige Sicherheit und kontinuierliche Aufklärung lassen sich diese raffinierten Bedrohungen abwehren.
