Quishing

Was ist Quishing?

Quishing (QR-Code-Phishing) ist eine Form des Social Engineerings, bei der Angreifer QR-Codes verwenden, um Opfer auf manipulierte Webseiten zu leiten. Dabei wird der klassische E-Mail-Phishing-Ansatz auf den QR-Code übertragen, um Filtermechanismen und visuelle Erkennung zu umgehen.

Warum funktioniert Quishing?

  • QR-Codes verschleiern die Ziel-URL vollständig

  • Nutzer können die URL vor dem Scannen oft nicht prüfen

  • Viele mobile Geräte öffnen QR-Links automatisch im Browser

  • Security-Tools analysieren meist nur sichtbare Links, nicht eingebettete QR-Ziele

  • QR-Codes wirken visuell neutral, teilweise sogar offiziell

Typische Einsatzszenarien

  • E-Mails mit QR-Code statt Link („Bestätigen Sie Ihre Microsoft-Login-Daten – scannen Sie dazu den QR-Code“)

  • Ausgedruckte QR-Codes (auf Plakaten, in Cafés, in Gebäuden – z. B. angeblich WLAN-Login, Visitenkarten, Bewerbungen)

  • Digitale Täuschung (PDF-Rechnungen, Bewerbungsunterlagen mit QR für „Cloud-Dokument“)

Beispiel: Angriff über gefälschten Microsoft-Login

Angreifer-Setup:

  1. Phishing-Seite mit täuschend echtem Microsoft-Login

  2. QR-Code zur Seite generieren (z. B. über qrencode, goqr.me)

  3. QR in E-Mail oder PDF einbetten mit Text wie:

    "Sie haben neue Dokumente – bitte scannen Sie den Code mit Ihrem Mobilgerät."

  4. Nutzer scannt Code mit Smartphone → landet auf Phishing-Seite

  5. Eingabe von Login-Daten wird mitgeloggt

Tools zur Angriffsvorbereitung

Tool
Funktion

qrencode

QR-Code-Erstellung via CLI

goqr.me

Webbasierte QR-Code-Erstellung

Evilginx2

Phishing-Framework mit MFA-Bypass

QR-Code-Overlay

Ersetzung echter QR-Codes durch präparierte Sticker

Browser-Redirects

QR führt zu legitimer Seite → Redirect zu Payload

Best Practices zur Ausnutzung (Red Team Perspektive)

  • Nutze Sozialkontext („IT-Aktualisierung“, „Zeiterfassung“, „Dokumentfreigabe“)

  • Vermeide offensichtliche Domains → nutze Subdomain-Masking (z. B. microsoft-login.example.com)

  • QR auf realistische Medien bringen (z. B. E-Mail-Fußzeile, PDF-Dokument)

  • Kombiniere mit bekannten Logos und sauberem Design

  • QR zu einer HTTPS-Seite führen (Self-Signed meiden)

  • Optional: Device Detection (Nur für Mobile weiterleiten)

PreviousVishing und SmishingNextTools for Social Engineering

Last updated