Quishing (QR-Code Phishing)
Quishing steht für QR-Code Phishing und bezeichnet eine Angriffstechnik, bei der ein manipuliertes QR-Code-Bild ein Opfer auf eine gefälschte oder schädliche Website leitet.
Überblick
- Gefälschte QR-Codes führen zu Phishing-Seiten
- Perfekt geeignet für den Einsatz im öffentlichen Raum
- Kombinierbar mit Social Engineering oder Social Engineering Kits
- QR-Code ersetzt klassische URL – Benutzer sehen nicht, wohin sie geleitet werden
Aufbau & Vorgehen
Ich habe ein eigenes Quishing-Testkit erstellt, das ich mobil auf einem Smartphone oder über WLAN verteilen kann. Dabei gehe ich wie folgt vor:
- Erstellen eines Phishing-Webservers (z. B. mit
zphisheroderevilginx2) - Hosten der Fake-Loginseite lokal auf dem Smartphone oder Raspberry Pi
- Erzeugen eines QR-Codes mit
qrencodeoder Online-Generatoren - Test an WLAN-Druckern, öffentlicher Werbung oder Social-Media-Kampagnen
Test & Wirkung
Während eines Experiments in einer semi-öffentlichen Umgebung wurde ein WLAN-Netz mit Fake-Loginseite erstellt. Der QR-Code leitete direkt dorthin. Die meisten Geräte (iOS/Android) öffneten den Link sofort ohne Vorschau.
Tools & Plattformen
zphisher,evilginx2,qrencode- Android-Terminal oder Linux-Shell
- Powerbank + mobiler Hotspot oder ESP32-WLAN-Modul
⚠️ Rechtlicher Hinweis:
Unternehmen sollten QR-Codes nie blind vertrauen und idealerweise mit Domain-Whitelisting oder Link-Vorschauen arbeiten. Nutzer können durch Schulung sensibilisiert werden, QR-Codes nur mit Vorsicht zu scannen.
Unternehmen sollten QR-Codes nie blind vertrauen und idealerweise mit Domain-Whitelisting oder Link-Vorschauen arbeiten. Nutzer können durch Schulung sensibilisiert werden, QR-Codes nur mit Vorsicht zu scannen.