Cyber-Notfall? 24/7 Soforthilfe:cybernotfall24.de
Cybersecurity

Quishing per Briefpost: Wenn der Phishing-Link im Briefkasten landet

VeröffentlichtAutorJulia

Phishing kennen die meisten als betrügerische E-Mail im Posteingang. Doch Cyberkriminelle entwickeln ihre Methoden kontinuierlich weiter und nutzen zunehmend auch physische Kommunikationswege.

Eine besonders raffinierte Variante macht derzeit auf sich aufmerksam: gefälschte Schreiben mit QR-Codes, die per Post oder über vermeintlich bekannte Zustelldienste an ihre Opfer gelangen.

Vom E-Mail-Postfach in den Briefkasten

Bei dieser Angriffsmethode erhalten Betroffene ein offiziell wirkendes Schreiben – beispielsweise im Namen einer Bank, eines Paketdienstes, einer Behörde oder eines anderen vertrauenswürdigen Unternehmens. Das Dokument enthält häufig einen QR-Code mit der Aufforderung, eine Zahlung zu bestätigen, ein Konto zu verifizieren oder weitere Informationen abzurufen.

Wer den QR-Code scannt, landet jedoch nicht auf der echten Website des angeblichen Absenders, sondern auf einer täuschend echt nachgebauten Phishing-Seite. Dort versuchen die Angreifer, Zugangsdaten, TANs, Kreditkarteninformationen oder andere sensible Daten abzugreifen.

Sicherheitsexperten bezeichnen diese Methode als 'Quishing' - eine Kombination aus QR-Code und Phishing.

Warum diese Angriffe besonders erfolgreich sein können

Die eigentliche Technik hinter dem Angriff ist nicht neu. Neu ist vielmehr die geschickte Kombination verschiedener Vertrauensfaktoren:

- Ein physisches Schreiben wirkt für viele Menschen glaubwürdiger als eine E-Mail.

- Der Brief wird häufig über einen bekannten Zustelldienst zugestellt.

- Logos, Layouts und Formulierungen orientieren sich an echten Dokumenten.

- QR-Codes sind aus dem Alltag nicht mehr wegzudenken und werden oft ohne weitere Prüfung gescannt.

Während viele Nutzer inzwischen gelernt haben, verdächtige Links in E-Mails kritisch zu hinterfragen, genießen Briefe und offizielle Dokumente häufig noch einen Vertrauensvorschuss. Genau diesen Effekt nutzen Cyberkriminelle gezielt aus.

Alte Idee, neues Gewand

Interessanterweise erinnert die Methode an ältere physische Angriffsformen. Bereits vor Jahren setzten Angreifer auf präparierte USB-Sticks oder CDs, die gezielt verteilt wurden. Die Hoffnung: Neugier oder Unachtsamkeit würden dazu führen, dass die Datenträger in Unternehmensrechner eingesteckt werden.

Der entscheidende Unterschied liegt heute darin, dass die Angreifer häufig gar keine Schadsoftware mehr installieren müssen. Stattdessen setzen sie auf Social Engineering und den direkten Diebstahl von Zugangsdaten. Der Mensch wird zum eigentlichen Angriffsziel.

Die Strategie dahinter ist dieselbe geblieben: Vertrauen schaffen, Skepsis abbauen und das Opfer zu einer Handlung bewegen.

Warum Unternehmen aufmerksam werden sollten

Gerade für Unternehmen entsteht hier ein relevantes Risiko. Mitarbeitende nutzen QR-Codes regelmäßig – beispielsweise für Paketverfolgungen, Rechnungen, Registrierungen oder mobile Anmeldungen. Erfolgt der Angriff über einen vermeintlich seriösen Brief oder eine bekannte Zustellung, sinkt die Wahrscheinlichkeit, dass die Echtheit hinterfragt wird.

Besonders kritisch wird es, wenn Unternehmenszugänge, Microsoft-365-Konten, VPN-Zugänge oder andere geschäftskritische Systeme ins Visier geraten. Bereits ein einzelner erfolgreicher Login auf einer Phishing-Seite kann weitreichende Folgen für die gesamte Organisation haben.

So schützen Sie sich vor Quishing

Die gute Nachricht: Mit einigen einfachen Verhaltensregeln lässt sich das Risiko deutlich reduzieren.

Scannen Sie QR-Codes nicht ungeprüft.
Auch bei Briefen oder offiziellen Dokumenten sollte die gleiche Skepsis gelten wie bei E-Mails.

Prüfen Sie die Zieladresse.
Viele Smartphones zeigen die Ziel-URL vor dem Öffnen an. Kontrollieren Sie die Adresse sorgfältig.

Verifizieren Sie Anfragen unabhängig.
Wenn eine Bank, Behörde oder ein Dienstleister angeblich eine dringende Handlung verlangt, rufen Sie die Website selbst über die bekannte Adresse auf oder kontaktieren Sie den Anbieter direkt.

Geben Sie keine Zugangsdaten über ungeprüfte QR-Code-Links ein.
Insbesondere bei Login-Seiten lohnt sich eine zusätzliche Prüfung der URL.

Sensibilisieren Sie Mitarbeitende regelmäßig.
Technische Schutzmaßnahmen bleiben wichtig, können jedoch nicht jede Form von Social Engineering verhindern. Awareness-Schulungen sind daher ein zentraler Bestandteil moderner IT-Sicherheit.

Fazit

Die Kombination aus gefälschten Dokumenten, QR-Codes und vertrauenswürdigen Zustellwegen zeigt, wie flexibel Cyberkriminelle auf veränderte Nutzergewohnheiten reagieren. Quishing-Angriffe verlassen die digitale Welt und nutzen zunehmend physische Kommunikationskanäle, um ihre Erfolgschancen zu erhöhen.

Für Unternehmen bedeutet das: Sicherheitsbewusstsein darf sich nicht nur auf E-Mails beschränken. Jede unerwartete Aufforderung zur Handlung – unabhängig davon, ob sie digital oder per Brief zugestellt wird – sollte kritisch geprüft werden.

Denn moderne Phishing-Angriffe landen längst nicht mehr nur im Posteingang, sondern zunehmend auch im Briefkasten.