Quishing ist längst nicht mehr nur ein E-Mail-Thema. Angriffe verlagern den Klick auf QR-Codes, Postsendungen und Smartphones. Das verändert, wie Security-Awareness wirken muss.
QR-Codes werden zum neuen Phishing-Standard
QR-Codes gelten als bequem, weil sie „nur“ gescannt werden müssen. Genau dieser Komfort wird zunehmend als Einfallstor genutzt. Der entscheidende Unterschied zu klassischem Phishing ist nicht die Optik, sondern der Kanalwechsel. Der Scan passiert häufig am Smartphone, während Sicherheitskontrollen am Unternehmens-Endpoint und in E-Mail-Gateways ins Leere laufen.
Ein aktueller Hinweis aus dem FBI/IC3-Flash zu Quishing beschreibt diesen Mechanismus explizit. Angreifer platzieren eine bösartige URL im QR-Code, zwingen den Wechsel vom Corporate Device auf ein mobiles Gerät und umgehen so gängige E-Mail-Schutzmechanismen. Besonders relevant ist dabei, dass Quishing-Kampagnen häufig auf credential harvesting und anschließend auf session token theft hinauslaufen, um Identitäten in Cloud-Umgebungen zu übernehmen.
Wenn „Post vom Support“ kommt, ist das kein Sonderfall mehr
Awareness-Programme sind oft auf E-Mail optimiert. Das ist nachvollziehbar, aber inzwischen unvollständig. In der Praxis tauchen vermehrt Szenarien auf, in denen physische Briefe, gedruckte Benachrichtigungen oder Beileger in Paketen den Einstieg bilden. Typisch ist ein dramaturgischer Aufbau mit Dringlichkeit, angeblicher Pflichtaktion und einem QR-Code als „schnellstem Weg“ zur Lösung.
Wallet-Hersteller warnen inzwischen selbst sehr klar davor, dass sie keine Seed-Phrases oder Backups anfordern und dass auch postalische Kontaktwege als Indikator für Betrug zu behandeln sind. In den Ledger-Hinweisen zu laufenden Phishing-Kampagnen wird betont, dass die Recovery Phrase niemals weitergegeben und nicht irgendwo eingegeben werden sollte, sondern nur direkt am Gerät. Der Trezor-Leitfaden zu Scams und Phishing formuliert es ebenso eindeutig: Unaufgeforderte Kontaktaufnahme über Messenger, Telefon und auch per Briefpost ist als Phishing zu behandeln.
Warum Finance, Executives und Wallet-Nutzer besonders betroffen sind
Für Angreifer zählen zwei Dinge. Sie wollen entweder direkt monetarisieren oder Identitäten übernehmen, die ihnen in der nächsten Stufe Zugang zu Geldflüssen und sensiblen Systemen geben.
- Bei Wallet-Nutzern ist die Recovery Phrase faktisch der Schlüssel. Wer sie erhält, kann Wallets importieren und Assets bewegen.
- Bei Finance- und Exec-Zielprofilen ist die Mischung aus Autorität, Zeitdruck und Prozessnähe attraktiv. QR-Codes in Briefen oder vermeintlichen „Compliance“-Hinweisen erzeugen eine andere Glaubwürdigkeit als Massenmails.
- Der Scan am Smartphone ist ein strategischer Vorteil für Täter, weil er die Sicherheitsinfrastruktur des Unternehmens oft umgeht und in Richtung Identity-Angriffe verschiebt.
Der zweite Angriffsvektor, den viele übersehen
Nicht nur Briefe sind relevant. Auch unerwartete Pakete können als Social-Engineering-Träger dienen. Die FTC-Warnung zu QR-Codes auf Paketen beschreibt, dass QR-Codes auf Beilegern zu Phishing-Seiten führen können, die Zahlungsdaten oder Zugangsdaten abgreifen. Außerdem wird darauf hingewiesen, dass über diesen Weg auch Malware-Downloads oder Gerätezugriffe angestoßen werden können.
Was Security-Awareness jetzt leisten muss
Die zentrale Anpassung lautet nicht „mehr Schulung“, sondern „andere Angriffsoberflächen abdecken“. Awareness muss physische Post und QR-Codes als gleichwertigen Phishing-Kanal behandeln und dabei die Zielgruppen priorisieren, bei denen der Schaden am größten ist.
Praxischecks für Mitarbeitende
- QR-Codes wie Links behandeln. Erst Kontext prüfen, dann scannen.
- Vor dem Öffnen die Ziel-URL in der Vorschau prüfen, wenn das Gerät diese Funktion anbietet.
- Keine Secrets eingeben, die Konten vollständig kompromittieren. Bei Wallets niemals die Recovery Phrase preisgeben.
- Bei Briefen und Paketen mit QR-Code immer den internen Meldeweg nutzen, statt „kurz zu testen“.
Maßnahmen für Organisationen
- Mailroom, Empfang und Executive Assistants in den Security-Meldeprozess integrieren, inklusive einfacher Foto- oder Scan-Weiterleitung zur Triage.
- Mobile Security als Teil der Phishing-Abwehr behandeln, weil der Angriffspfad häufig außerhalb klassischer EDR- und Network-Inspection-Grenzen beginnt.
- Awareness-Simulationen um QR-Szenarien ergänzen, einschließlich gedruckter Artefakte für besonders exponierte Gruppen.
Ein Satz, der in jede Schulung gehört
Wenn eine Nachricht, ein Brief oder ein Paket dich dazu drängt, sofort einen QR-Code zu scannen und danach Zugangsdaten oder Wallet-Backups einzugeben, ist das fast immer ein Betrugsversuch.
FAQ zu Quishing (QR-Code-Phishing)
Quishing ist Phishing über QR-Codes. Der QR-Code führt typischerweise auf eine gefälschte Login- oder Zahlungsseite, die Zugangsdaten, MFA-Codes, Zahlungsdaten oder andere sensible Informationen abgreift. Häufig wird der Scan bewusst auf das Smartphone verlagert, um Schutzmechanismen am Unternehmensgerät zu umgehen.
Im Alltag werden beide Begriffe oft synonym genutzt. Quishing betont meist den Phishing-Charakter als Methode, während QR-Code-Phishing eher den technischen Träger beschreibt. In beiden Fällen ist der QR-Code nur das Transportmittel, der Angriff passiert über das Ziel, auf das der Code verweist.
Smishing ist Phishing per SMS oder Messenger. Vishing ist Phishing per Telefonanruf. Quishing nutzt QR-Codes in E-Mails, Briefpost, Aushängen, Paketen oder an Geräten wie Parkautomaten. Der gemeinsame Nenner ist Social Engineering, der Unterschied ist der Kanal und damit auch, welche technischen Kontrollen greifen oder umgangen werden.
QR-Codes senken die Hürde zum Klicken. Viele Menschen prüfen die Ziel-URL nicht, weil sie sie vor dem Öffnen nicht vollständig sehen. Zusätzlich verschiebt Quishing den Angriff oft auf mobile Geräte, die in Unternehmen nicht immer gleich streng überwacht werden wie Laptops oder Desktops. Dadurch werden klassische E-Mail- und Web-Kontrollen teilweise umgangen.
Ein QR-Code ist im Kern nur Daten, zum Beispiel eine URL oder ein Text. Die Gefahr entsteht durch das, was nach dem Scannen passiert. Das kann ein Link zu einer Malware-Download-Seite sein, ein Link zu einer App-Installation, ein Deep Link in eine App oder eine Seite, die Zugriffsdaten abfragt. Der QR-Code ist also nicht die Malware, sondern der Einstieg.
Häufig sind es gefälschte Microsoft- oder Cloud-Login-Seiten, angebliche MFA-Resets, Paketbenachrichtigungen, Parkplatz- oder Ladesäulen-Zahlungen, interne Aushänge wie „Wi-Fi-Update“ oder „Security-Update“, sowie Briefpost mit angeblichen Support- oder Compliance-Hinweisen. Gemeinsam ist fast immer ein Dringlichkeitssignal und eine Aufforderung, schnell zu scannen und zu handeln.
Typische Hinweise sind ungewöhnlicher Zeitdruck, Drohungen mit Sperrung, starke Handlungsaufforderungen, unerwartete „Verifizierung“, sowie QR-Codes statt normaler Links. Bei physischen Medien kommen Manipulationsspuren hinzu, zum Beispiel überklebte QR-Codes, schiefe Sticker oder beschädigte Oberflächen. Ein QR-Code ist kein Vertrauensbeweis, er ist nur ein Transportkanal.
Nutze eine Scan-Funktion, die eine Link-Vorschau zeigt, bevor du öffnest. Prüfe Domain und Subdomain sorgfältig, inklusive Tippfehlern, ungewöhnlichen TLDs und Zusatzwörtern. Öffne keine Links, die verkürzt sind, kryptisch wirken oder nicht zur Situation passen. Im Zweifel den QR-Code nicht öffnen, sondern den bekannten offiziellen Weg nutzen, etwa die App oder die manuell eingegebene Webadresse.
Behandle QR-Codes wie Links. Scanne nur, wenn Quelle und Kontext plausibel sind. Öffne den Link erst nach URL-Prüfung. Gib niemals Zugangsdaten, MFA-Codes oder Wallet-Recovery-Phrases über Seiten ein, die du über einen QR-Code erreicht hast. Nutze interne Meldewege sofort, wenn eine Nachricht oder Postsendung verdächtig ist. Das gilt besonders für Zahlungs- und Login-Aufforderungen.
Wichtig sind starke Identity-Maßhnahmen, weil Quishing oft auf Kontoübernahme zielt. Dazu gehören phishing-resistente MFA-Verfahren wie FIDO2 oder Passkeys, Conditional Access, risikobasierte Anmeldeerkennung und konsequente Session-Token-Invalidierung bei Verdacht. Auf mobilen Geräten helfen MDM, URL-Reputation, DNS-Filter, Browser-Hardening und Mobile Threat Defense. Ergänzend sind Meldeprozesse und schnelle Triage für verdächtige QR-Codes entscheidend.
Awareness muss neben E-Mail auch physische Post, Aushänge, Pakete und QR-Codes abdecken. Gute Programme zeigen echte Beispiele, trainieren URL-Prüfung auf dem Smartphone und erklären typische Social-Engineering-Muster wie Dringlichkeit und Autorität. Für exponierte Gruppen wie Finance, Assistenzfunktionen und Executives lohnt sich ein eigener Trainingspfad mit realitätsnahen Szenarien und klaren Meldewegen.
Definiere einen einfachen Prozess, um verdächtige Briefe, Beileger und Aushänge zu melden, idealerweise mit Foto oder Scan an ein Security-Postfach oder Ticket. Der Prozess sollte klar sagen, dass QR-Codes nicht „zum Test“ gescannt werden. Zusätzlich hilft eine Liste typischer Scam-Merkmale und ein kurzer Eskalationspfad, wenn eine Person oder Abteilung gezielt adressiert wurde.
Melde den Vorfall sofort an Security oder IT. Schließe die Seite, trenne im Zweifel kurz die Verbindung und ändere Passwörter über einen bekannten, sicheren Weg. Lass aktive Sessions und Tokens zurücksetzen, wenn das im Unternehmen möglich ist. Wenn MFA-Codes eingegeben wurden, gilt besondere Eile. Bei Wallet-Themen gilt, dass eine preisgegebene Recovery Phrase als kompromittiert betrachtet werden muss und sofortige Schutzmaßnahmen erforderlich sind.
Bei Wallets ist die Recovery Phrase häufig der zentrale Schlüssel. Wer sie bekommt, kann Wallets importieren und Transaktionen auslösen. Quishing-Kampagnen in Briefpost zielen deshalb oft darauf ab, die Recovery Phrase über eine gefälschte „Update“- oder „Verifizierungs“-Seite abzufragen. Die wichtigste Regel lautet, dass die Recovery Phrase niemals geteilt und nicht in Webseiten eingegeben wird.
Erfasse QR-Code-basierte Angriffe als eigenen Phishing-Kanal in Threat Models und Security Policies. Ordne Maßnahmen klar zu, etwa Identity Controls, Mobile Controls, Awareness und Incident Response. Definiere Zielgruppen mit erhöhtem Risiko, zum Beispiel Finance, Executives, Assistenzfunktionen und Personen mit Zugriff auf Zahlungsprozesse oder Wallets. Prüfe regelmäßig, ob Simulationen, Meldequoten und Response-Zeiten den realen Angriffspfad abdecken.
