Einfach erklärt
Quishing ist ein Trick von Kriminellen. Sie überkleben einen echten QR-Code (z. B. auf einem Plakat oder einem Produkt) mit einem falschen Aufkleber. Wenn du den Code scannst, landest du nicht auf der echten Webseite, sondern auf einer nachgebauten Betrüger-Seite, die versucht, deine Passwörter zu stehlen.
Alltagsbeispiel
Jemand überklebt das echte Schild eines Geldautomaten mit einem falschen Schild, auf dem steht: „Bitte werfen Sie Ihre Karte in diesen (falschen) Schlitz“. Du denkst, du bist bei der Bank, gibst deine Karte aber direkt an den Dieb.
Kurze präzise Definition
Quishing ist eine Form des Social Engineering und Phishings, bei der manipulierte oder gefälschte QR-Codes eingesetzt werden, um Nutzer auf schädliche Websites umzuleiten, Schadsoftware zu installieren oder sensible Zugangsdaten abzugreifen.
Ausführliche Erklärung
Mit der massiven Verbreitung von 2D-Barcodes steigt dieses Cyber-Risiko rasant. Da ein Mensch einen GS1 Digital Link oder eine URL im QR-Code mit bloßem Auge nicht lesen kann, verlässt er sich blind auf die Smartphone-Kamera. In industriellen Datenökosystemen wird daher auf Data Authentication (z. B. durch DID oder digitale Signaturen) und spezielle Verifier-Apps gesetzt, die den kryptografischen Hintergrund des Codes vor dem Öffnen prüfen.
Zusammenhang mit dem Digitalen Produktpass
Der DPP ist extrem anfällig für Quishing. Wenn jedes Produkt in Europa einen QR-Code bekommt, könnten Betrüger gefälschte Ersatzteile verkaufen und den Code so manipulieren, dass er auf einen gefälschten Produktpass verweist, der „alles in Ordnung“ anzeigt. Das EU DPP Registry und signierte Zertifikate verhindern dies, weil eine App im Hintergrund sofort erkennt, dass die Webseite nicht vom offiziellen Hersteller stammt.
Synonyme / Abkürzungen
QR-Phishing, QR-Code Betrug.
Praxisbeispiel aus Unternehmen oder Industrie
Ein Kunde kauft eine teure Marken-Handtasche auf einem Flohmarkt. Er scannt den eingenähten QR-Code, der zu einer täuschend echt aussehenden Webseite (dem vermeintlichen DPP) führt, die bestätigt, dass die Tasche echt ist. Hätte er die offizielle Marken-App (mit eingebauter Verifizierung) genutzt, hätte die App sofort gewarnt: „Achtung Quishing – Diese URL ist nicht im DPP Registry registriert.“
Quellen
- Federal Trade Commission: How to recognize and avoid QR code scams.
https://consumer.ftc.gov/consumer-alerts/2023/12/scammers-hide-harmful-links-qr-codes-steal-your-information - FBI: Cyber criminals tampering with QR codes to steal victim funds.
https://www.ic3.gov/PSA/2022/PSA220118 - ISO/IEC 18004:2024: QR code bar code symbology specification.
https://www.iso.org/standard/83389.html