QR-Phishing: Die unterschätzte Gefahr für Finanzinstitute

Was ist QR-Phishing?

QR-Phishing – auch "Quishing" genannt – ist eine Angriffsmethode, bei der Cyberkriminelle bösartige QR-Codes einsetzen, um Nutzer auf gefälschte Websites zu leiten oder schädliche Inhalte zu verbreiten. Im Gegensatz zu klassischen Phishing-Links, die von E-Mail-Sicherheitsfiltern leicht erkannt werden, passieren QR-Codes diese Schutzmaßnahmen in der Regel ungehindert.

Der Angreifer bettet einen QR-Code in eine E-Mail, ein Dokument oder ein physisches Objekt ein. Wer den Code scannt, landet auf einer täuschend echten Phishing-Seite – ohne dass klassische Link-Filter eingegriffen haben.

Alarmierende Zahlen: Der Anstieg von QR-Phishing

QR-Phishing ist keine neue Erscheinung, aber die Wachstumsrate ist alarmierend. Sicherheitsforscher berichten von einem Anstieg QR-basierter Phishing-Angriffe um bis zu 587 % innerhalb eines Jahres. Besonders betroffen: Finanzinstitute, Versicherungen und kritische Infrastruktur.

Warum gerade jetzt? QR-Codes sind im Alltag allgegenwärtig geworden – und werden reflexartig gescannt, ohne die Vorsicht, die bei E-Mail-Links längst selbstverständlich ist.

Anatomie eines QR-Phishing-Angriffs

So läuft ein typischer Angriff ab:

• Angreifer erstellen eine täuschend echte Phishing-Seite, die das Online-Banking-Portal oder die App-Anmeldung einer Bank imitiert
• Ein QR-Code, der auf diese Seite verweist, wird in eine offiziell aussehende E-Mail eingebettet
• Die E-Mail wird an Kunden oder Mitarbeiter des Zielinstituts gesendet – oft mit einer Dringlichkeitsbotschaft ("Ihre Sicherheitsprüfung läuft ab")
• Das Opfer scannt den QR-Code mit dem Smartphone, das in der Regel nicht durch Corporate-Security-Lösungen geschützt ist
• Auf der Phishing-Seite werden Zugangsdaten, TAN-Codes oder andere sensible Daten abgegriffen
• Die erbeuteten Daten werden sofort für betrügerische Transaktionen genutzt

Warum QR-Phishing so gefährlich ist

• Umgehung von E-Mail-Filtern – URL-basierte Filter erkennen den schädlichen Link nicht, da er im QR-Code kodiert ist und als Bild in der E-Mail erscheint.
• Wechsel auf ungesichertes Gerät – Das Scannen erfolgt mit privaten Smartphones, die meist weniger gut geschützt sind als Unternehmensgeräte.
• Niedriges Nutzer-Misstrauen – QR-Codes werden im Alltag vertrauensvoll genutzt; das Bewusstsein für QR-basierte Risiken ist noch gering.
• Skalierbarkeit – Angreifer können Kampagnen leicht auf Tausende von Zielen skalieren, ohne technischen Aufwand zu erhöhen.

Fallstudie: Kampagne gegen deutsche Bankkunden (August 2024)

Im August 2024 wurden mehrere QR-Phishing-Kampagnen gegen Kunden deutscher Finanzinstitute beobachtet. Angreifer versendeten E-Mails, die das Corporate Design bekannter Banken täuschend echt imitierten. Der eingebettete QR-Code führte auf Phishing-Seiten, die unter Lookalike-Domains betrieben wurden.

Betroffene Banken wurden von vielen Kunden für die Angriffe verantwortlich gemacht – obwohl die Institute technisch nichts falsch gemacht hatten. Der Reputationsschaden war erheblich und verdeutlicht, wie wichtig proaktives Domain-Monitoring ist: Die Phishing-Domains waren teils Wochen vor dem Angriff registriert worden.

Schutzmaßnahmen für Finanzinstitute

• QR-Code-Scanning-Filter – Spezialisierte E-Mail-Security-Lösungen können mittlerweile QR-Codes in E-Mails erkennen und den enthaltenen Link analysieren.
• Kundenkommunikation – Aktiv kommunizieren, dass die eigene Bank niemals per E-Mail-QR-Code zur Anmeldung auffordert.
• Domain-Monitoring – Lookalike-Domains, die als Grundlage für QR-Phishing-Seiten dienen, frühzeitig erkennen und takedown-Maßnahmen einleiten.
• Employee Awareness – Mitarbeiter schulen, QR-Codes in beruflichen E-Mails grundsätzlich kritisch zu behandeln und bei Zweifeln über sichere Kanäle nachzufragen.

Fazit

QR-Phishing ist eine wachsende Bedrohung, die bestehende Sicherheitsarchitekturen gezielt umgeht. Finanzinstitute, die bereits über ausgereifte E-Mail-Security verfügen, sind durch diese Methode besonders gefährdet, da sie sich in einer trügerischen Sicherheit wiegen können.

Die Kombination aus technischen Gegenmaßnahmen, proaktivem Domain-Monitoring und gezielter Kundenkommunikation ist der wirksamste Schutz. Wer auf Lookalike-Domains frühzeitig aufmerksam wird, kann die Infrastruktur von QR-Phishing-Angriffen eliminieren, bevor sie Schaden anrichten.