Thought Leadership
Neue Phishing-Masche: Hacker nutzen QR-Codes aus Textzeichen, um E-Mail-Sicherheitsfilter zu umgehen.
Sicherheitsanalysten des IT-Sicherheitsunternehmens Kaspersky haben eine neuartige und zunehmend verbreitete Methode im Bereich des sogenannten QR-Phishings, auch bekannt als Quishing, identifiziert. Bei dieser Masche generieren Cyberkriminelle die typischen quadratischen Kacheln eines QR-Codes nicht wie bisher üblich als herkömmliche Bilddatei im Format PNG oder JPEG. Stattdessen setzen sie die visuellen Elemente vollständig aus einzelnen Textzeichen und HTML-Bausteinen zusammen.
Das primäre Ziel dieser Vorgehensweise besteht darin, automatisierte E-Mail-Sicherheitslösungen und Filtermechanismen gezielt zu umgehen. Herkömmliche Gateways prüfen eingehende Nachrichten meist auf verdächtige Webadressen im Text oder analysieren beigefügte Grafiken. Die Neuausrichtung auf textbasierte Darstellungen hebelt diese Kontrollen teilweise aus. Die Dringlichkeit zeigt sich auch in den statistischen Auswertungen: Bereits im zweiten Halbjahr des Jahres 2025 registrierten Experten einen fünffachen Anstieg bei den erkannten Angriffen mit schädlichen QR-Codes, was die rasante Verbreitung dieser Angriffsform unterstreicht.
Funktionsweise von ASCII-basierten QR-Codes
Die genutzte Methode greift auf ein sehr altes Prinzip der Informatik zurück, die sogenannten ASCII- oder Unicode-Grafiken. Hierbei werden Zeichen wie der volle Block oder halbe Blöcke verwendet, um geometrische Formen im Textformat nachzubilden. Die Angreifer konstruieren eine detaillierte Matrix aus diesen Schriftzeichen innerhalb des HTML-Codes einer E-Mail. Um das Erscheinungsbild eines regulären, scanbaren QR-Codes perfekt zu imitieren, nutzen die Täter zusätzlich Cascading Style Sheets, kurz CSS.
Mit diesen Formatierungsanweisungen steuern sie die Farbgebung der Textzeichen. Überall dort, wo im QR-Code weiße Freiflächen benötigt werden, schalten sie die Textfarbe auf transparent oder nutzen unsichtbare Leerzeichen. Für den menschlichen Empfänger sieht das Ergebnis auf dem Bildschirm aus wie ein ganz gewöhnlicher, legitimer QR-Code. Für automatisierte Schutzsysteme, die auf optische Texterkennung mittels OCR-Systemen oder auf rein bildbasierte Analysen setzen, bleibt die bösartige Struktur jedoch unsichtbar. Das System erkennt lediglich eine scheinbar parstextuelle Aneinanderreihung von Zeichen und stuft die E-Mail als unbedenklich ein.
Fokus auf mobile Endgeräte
Der Ablauf eines solchen Quishing-Angriffs folgt einem psychologisch gut durchdachten Muster des Social Engineerings, das speziell auf den Arbeitsalltag in Unternehmen abgestimmt ist. Die potenziellen Opfer erhalten eine täuschend echt aussehende E-Mail, die vermeintlich von einem bekannten Geschäftspartner, Lieferanten oder einer internen Abteilung wie der Personalverwaltung stammt. Häufig wird als Vorwand die dringende Aufforderung genutzt, ein wichtiges oder vertrauliches Dokument über eine etablierte Plattform wie DocuSign digital zu signieren. In der Nachricht ist dann der präparierte, textbasierte QR-Code eingebettet, verbunden mit der Anweisung, diesen mit der Kamera eines Smartphones oder Tablets einzuscannen. Durch das Scannen wird der Anwender auf eine gefälschte Website weitergeleitet.
Diese Phishing-Seiten imitieren meist die Anmeldeportale von Microsoft 365, internen Unternehmensnetzwerken oder Finanzdienstleistern. Die Kriminellen zielen darauf ab, die dort eingegebenen Zugangsdaten und Passwörter in Echtzeit abzugreifen. Der Fokus auf mobile Endgeräte ist dabei kein Zufall: Smartphones sind in vielen Unternehmensumgebungen weniger restriktiv geschützt als stationäre Desktop-Arbeitsplätze und verfügen seltener über integrierte Webfilter, die schädliche Ziel-URLs sofort blockieren.
Kehrtwende zu textbasierten Methoden
Nach Analysen der Anti-Spam-Experten von Kaspersky zeigt diese Entwicklung eine interessante Umkehrung historischer Angriffsstrategien. Roman Dedenok, ein leitender Analyst des Unternehmens, wies darauf hin, dass Betrüger in der Vergangenheit vor allem versucht haben, automatisierte URL-Scanner auszutricksen, indem sie schädliche Links in Bildern versteckten. Da moderne Abwehrsysteme inzwischen gelernt haben, solche Bilder mittels Texterkennung zu durchsuchen und zu decodieren, vollziehen die Angreifer nun eine Kehrtwende zurück zu textbasierten Methoden.
Die Verwendung von ASCII-Grafiken stellt eine direkte Reaktion auf die verbesserten Bildfilter der Sicherheitsindustrie dar. Jeder QR-Code, der den Nutzer dazu verleitet, sensible geschäftliche oder private Anmeldedaten auf einem mobilen Gerät einzugeben, sollte laut den Experten grundsätzlich als hochgradig verdächtig eingestuft werden. Wenn die visuelle Matrix zudem nachweislich aus Textbausteinen generiert wurde, liegt der Verdacht auf einen Täuschungsversuch extrem nahe, da diese Technik im regulären, legitimen Geschäftsverkehr praktisch keine Anwendung findet.
Strategische Schutzmaßnahmen für Unternehmen und Administratoren
Um Netzwerke und Mitarbeiter wirksam vor dieser neuen Generation des Phishings zu schützen, müssen Unternehmen ihre Verteidigungsstrategien anpassen. Ein zentraler Baustein ist die kontinuierliche Sensibilisierung der Belegschaft durch regelmäßige Schulungen zu aktuellen Social-Engineering-Methoden. Mitarbeiter müssen lernen, QR-Codes in E-Mails grundsätzlich mit Skepsis zu begegnen, insbesondere wenn diese zu einer Passworteingabe auffordern. Auf technischer Ebene reicht der Einsatz einfacher Spam-Filter nicht mehr aus. Administratoren sollten E-Mail-Sicherheitssysteme implementieren, die in der Lage sind, HTML-Strukturen tiefgehend zu parsen und Textmatrizen vorab rechnerisch zu entschlüsseln, um die darin verborgenen Webadressen zu analysieren, bevor die Nachricht den Posteingang erreicht.
Darüber hinaus ist die flächendeckende Einführung einer modernen Mehr-Faktor-Authentifizierung unerlässlich. Selbst wenn es Angreifern gelingt, Passwörter über eine gefälschte Website abzugreifen, verhindert der zusätzliche Bestätigungsfaktor in den meisten Fällen eine unbefugte Übernahme des Benutzerkontos. Eine sorgfältige Kontrolle der Absenderadressen und die Verifizierung von Dokumentenanforderungen über alternative Kommunikationskanäle runden die Sicherheitsarchitektur ab.
