![](\"https:\/\/news.sophos.com\/wp-content\/uploads\/2020\/12\/emails-de-phishing.jpg\"\/)
<\/p>\nIn Anlehnung an Albert Einstein lie\u00dfe sich wohl sagen, dass der kriminelle Einfallsreichtum der Menschen unendlich ist. Der neueste Trend Quishing beweist jedenfalls einmal wieder, dass die Cyberkriminellen keine M\u00f6glichkeit auslassen. Die Experten von Sophos X-Ops haben sich den neuesten Hype der Infiltration \u00fcber QR-Codes genauer angesehen.<\/p>\n
Wenn Cyberkriminelle ihre Phishing-Methoden mit eigentlich ganz harmlosen QR-Codes kombinieren, ist von \u201eQuishing\u201c die Rede. Mittlerweile ist diese neue Taktik so popul\u00e4r geworden, dass es schon ganze Kampagnen dazu gibt.\u00a0Die Analysten von Sophos X-Ops haben gerade einen Coup aufgedeckt, bei dem ein Sophos- Mitarbeiter ein PDF-Dokument mit einem QR-Code als E-Mail-Anhang erhielt. Dieser QR-Code war ein Phishing-K\u00f6der, um Zugang zu den Anmeldeinformationen des Nutzers inklusive des MFA-Tokens (Multi-Faktor-Authentifizierung) zu ergaunern. Die Sophos-Experten waren in der Lage, die Angreifer daran zu hindern, Zugang zu jeglichen internen Anwendungen zu erhalten \u2013 doch andere Unternehmen hatten vielleicht weniger Gl\u00fcck, den Angriff zu erkennen und abzuwehren.<\/p>\n
Seit Juni 2024 haben die Spezialisten von Sophos eine wachsende Anzahl dieser Quishing-E-Mails registriert, mit stetig ausgefeilteren Grafiken und gef\u00e4lschtem Docusign-Branding. Es erscheint, dass die Angreifer Vorteile von \u201eQuishing as a Service\u201c nutzen und sich eine bekannte Phishing-as-a-service-Plattform zu eigen machen.<\/p>\n
Andrew Brandt, Principal Threat Researcher bei Sophos, ordnet die Situation so ein: \u201eAls die QR-Codes w\u00e4hrend der COVID-Pandemie popul\u00e4rer wurden, war man zwar besorgt, das Risiko f\u00fcr die meisten Menschen blieb jedoch eher gering. Jetzt sehen wir, wie Angreifer die QR-Codes f\u00fcr gezielte Phishing-Attacken sehr effektiv nutzen. QR-Codes sind ungemein flexibel und mit Quishing-Baus\u00e4tzen k\u00f6nnen die Kriminellen ganze Serien von gezielten Quishing-Massen-E-Mails entwickeln. Und wenn es den Angreifern gelingt, sowohl das Login als auch die Multifaktorauthentifikation eines Mitarbeiters zu stehlen, haben sie sich in vielen F\u00e4llen Zugang zu hoch privilegierten Bereichen verschafft.\u201c<\/p>\n
Selbst unter besten Bedingungen und mit gut geschulten Mitarbeitern ist Phishing beziehungsweise Quishing eine zunehmend gef\u00e4hrliche Bedrohung. Mit einem mehrschichtigen Schutz ist es heute allerdings m\u00f6glich, einen erfolgreichen Phishing-Angriff zu entsch\u00e4rfen. Genauso wichtig ist aber auch eine Unternehmenskultur, in der die Mitarbeiter ermutigt werden, verd\u00e4chtige Aktivit\u00e4ten umgehend zu melden. Das schnelle Eingreifen kann den Unterschied zwischen einem blo\u00dfen Phishing-Versuch und einem erfolgreichen Angriff ausmachen.<\/p>\n
Wie genau Quishing-Attacken funktionieren und weshalb sie eine zunehmende Gefahr darstellen, wird in diesem Artikel ausgef\u00fchrt:<\/p>\n