Phishing, Smishing, Vishing, und jetzt auch noch Quishing: Begriffe, die auf "ishing" enden, verheißen nichts Gutes. In allen Fällen geht es um den Versuch, irgendwie an die Bankdaten der Opfer zu kommen. Im Grunde handelt es sich dabei immer um Varianten des Phishings: Meist werden die Opfer auf eine falsche Webseite gelotst, die aber täuschend echt aussieht, und auf der man dann seine Bankdaten eingeben soll. Beim Smishing erfolgt der Angriff über eine SMS, beim Vishing über einen Anruf (das "V" steht für Voice) und beim Quishing ist es eben ein QR-Code, wie auch Eddy Willems in der VRT erklärte. Das Wort ist also eine Kombination aus den Begriffen "Phishing" und "QR-Code".
Wirklich neu sei das Phänomen nicht, sagt der weltweit anerkannte Cybersecurity-Experte. Ein QR-Code enthält in den meisten Fällen einen Weblink und soll den Nutzern das Leben vereinfachen. Man hält die Kamera seines Smartphones drauf und dann landet man gleich auf der gewünschten Internetseite - aber eben manchmal auch auf unerwünschten. Dann nämlich, wenn der QR-Code von Betrügern stammt. Deren Kunst besteht also darin, die Menschen dazu zu bringen, besagten QR-Code zu scannen. Und dabei sind der Fantasie offensichtlich keine Grenzen gesetzt.
Im vorliegenden Fall haben die Betrüger ihre QR-Codes an Ladesäulen platziert. "In der Regel benutzen die Fahrer von E-Autos einen sogenannten 'Ladepass', um ihr Fahrzeug aufzuladen. Ein kleiner Prozentsatz nutzt dafür aber auch QR-Codes: Man scannt den Code auf der Ladesäule, landet auf einer Webseite und bezahlt dort den Ladevorgang. Und genau hier haben die Betrüger ihren Fuß in die Tür gekriegt."
Sie haben an einigen Ladesäulen ganz einfach neue Aufkleber platziert, die also einen neuen QR-Code zeigten. Und der führte die nichtsahnenden Nutzer dann eben auf eine falsche Internetseite. "Im Glauben, sie würden ihren Ladevorgang bezahlen, gaben die Opfer dort ihre Bankdaten ein - also auf der Phishing-Seite der Betrüger", sagt Eddy Willems. In Brüssel seien rund 20 Ladesäulen mit einem solchen falschen QR-Code versehen worden. Betroffen von diesem Quishing-Angriff waren im vorliegenden Fall nur Ladesäulen der Firma EnergyVisio. Das Unternehmen hat daraufhin die Bezahlmethode über QR-Code erstmal gesperrt.
QR-Codes zum Bezahlen vermeiden
Das Ganze war wirklich clever gemacht: Im ersten Moment konnte der Betreffende nämlich kaum bemerken, dass irgendwas nicht stimmte. Nachdem er seine Bankdaten eingegeben hatte, bekam er eine Fehlermeldung zu sehen. "Kann passieren", denkt man sich da wohl, aber in Wahrheit waren 300 Euro von der Karte abgebucht worden. Beim zweiten Versuch landete der Nutzer dann auf der richtigen Webseite, also der Seite des Betreibers der Ladesäule, auf der der Bezahlvorgang dann auch funktionierte. Deswegen haben die Opfer auch zunächst nicht mal ahnen können, dass sie bestohlen wurden.
Wie kann man sich nun vor einer solchen Masche schützen? "Das ist gar nicht so einfach", sagt der Sicherheitsexperte Eddy Willems. Im vorliegenden Fall sah der Aufkleber mit dem falschen QR-Code dem Original wirklich täuschend ähnlich. Das konnte ein profanes Auge nicht erkennen. Aber in solchen Fällen sollte man sich dennoch die Webseite wirklich genau anschauen. Kunden, die regelmäßig über QR-Code bezahlen, die sollten etwa hellhörig werden, wenn die Seite etwas anders aussieht oder wenn die Internet-Adresse irgendwie nicht passt, sagt Willems. "Zugegeben, auf einem kleinen Handybildschirm ist das manchmal so eine Sache." Ein anderes Warnsignal ist es, wenn etwa die Bezahlmethode plötzlich eine andere ist.
Die einfachste Lösung wäre natürlich, ganz auf die Methode mit den QR-Codes zu verzichten. Für die Betreiber geht das nicht, weil eine EU-Richtlinie sie eben dazu verpflichtet, um sicherzustellen, dass die ihre Ladenetze auch für Kunden anderer Anbieter öffnen. Aber der Nutzer kann eben auf Alternativen ausweichen. "So leid es mir tut, aber man sollte in jedem Fall QR-Codes möglichst vermeiden", sagt Eddy Willems.
Roger Pint
