Clean Links
Anleitungen

Quishing verhindern: QR-Phishing stoppen, bevor es beginnt

Veröffentlicht

Ein schneller Scan. Ein kleines Quadrat auf einem Flyer. Ein dringender Hinweis "hier tippen" auf einem Parkticket. Genau auf dieses Vertrauen in Sekundenbruchteilen zählen Angreifer. Quishing - Phishing über QR-Codes - wirkt harmlos, kann ein Gerät aber durch versteckte Weiterleitungen führen, Nutzer auf überzeugende gefälschte Login-Seiten bringen oder unbemerkt Tracking-Tokens weitergeben, die Daten preisgeben.

Dieser Artikel erklärt, warum QR-Codes einen blinden Fleck schaffen, warum "einfach die URL prüfen" oft nicht reicht und welche praktischen Schritte das Risiko senken. Der letzte Abschnitt erklärt, wie Clean Links das echte Ziel sichtbar macht und Tracking entfernt, bevor eine Seite geöffnet wird.

Warum QR-Codes einen blinden Fleck schaffen

QR-Codes entfernen Tippen und Kontext zugleich.

  • Wenn ein Code gescannt wird, decodiert das Telefon Daten und zeigt eine URL oder Aktion an. Diese erste URL kann ein Drehpunkt sein - ein Kurzlink, ein Redirector oder eine in der Cloud gehostete Seite, die sofort an ein anderes Ziel weiterleitet.
  • Angreifer nutzen Kurzlink-Dienste und mehrstufige Weiterleitungen, um das endgültige Ziel zu verbergen. Was auf den ersten Blick sicher aussieht, kann nach einer oder mehreren Weiterleitungen zu einer Seite werden, die Zugangsdaten abgreift.
  • QR-Codes können überall platziert werden: Plakate, Speisekarten, Mailings, Aufkleber über legitimen Codes. Diese physische Platzierung macht sie überzeugend und leicht zu missbrauchen.

Warum "URL prüfen" oft nicht reicht

Jemandem zu sagen, er solle "einfach die URL prüfen", setzt ein paar Dinge voraus, die in der Praxis nicht stimmen:

  1. Die decodierte URL kann selbst ein Redirector sein, sodass die Prüfung nur den ersten Schritt zeigt.
  2. Viele Viewer - auch Standard-Kamera-Apps - zeigen den decodierten Link an, folgen aber nicht der vollständigen Weiterleitungskette und zeigen das endgültige Ziel erst nach dem Tippen.
  3. Selbst wenn die endgültige Domain legitim aussieht, können Tracking-Parameter und Affiliate-Tokens angehängt sein. Diese Parameter können Profiling ermöglichen oder Teil von Betrugsabläufen sein, wodurch schwerer zu erkennen ist, wohin ein Scan wirklich führt.

Kurz gesagt: Eine sichtbare URL ist nützlich, aber sie ist nicht das ganze Bild.

Das Video oben zeigt den entscheidenden Unterschied: Apples Kamera-App zeigt nur die ursprüngliche Domain, während Clean Links allen Weiterleitungen folgt, um das echte endgültige Ziel sichtbar zu machen, bevor du tippst.

Praktische Schritte zur Risikosenkung

  • Behandle unaufgefordert erhaltene QR-Codes wie unbekannte Links. Wenn etwas per Post, auf einem Aufkleber oder an einem Ort auftaucht, an dem es nicht erwartet wurde, scanne es nicht.
  • Wenn ein Unternehmen einen QR-Code bereitstellt (Speisekarte, Ticket, Zahlung), prüfe den Code beim Personal oder nutze stattdessen die offizielle App oder Website des Unternehmens.
  • Gib keine Zugangsdaten auf einer Website ein, die du über einen QR-Code erreicht hast. Tippe bei wichtigen Diensten die bekannte offizielle Adresse manuell ein oder nutze ein vertrauenswürdiges Lesezeichen.
  • Bevorzuge Scanner, die das endgültige Ziel vorab anzeigen und die Weiterleitungskette zeigen, statt nur den ersten decodierten Link.

Clean Links wurde entwickelt, um QR-Codes und Kurzlinks offenzulegen. Es folgt der vollständigen Weiterleitungskette und zeigt die echte endgültige URL an, bevor die Seite geöffnet wird. Während die iPhone-Kamera den decodierten Link zeigt, macht Clean Links Weiterleitungen sichtbar und entfernt Tracking-Parameter, damit die Zielseite und der geöffnete Link den Erwartungen entsprechen. Die gesamte Verarbeitung läuft lokal auf dem Gerät, ohne externe Protokollierung.

Clean Links kann kostenlos im App Store geladen werden.

Kurze Checkliste, um dich zu schützen

  • Halte kurz inne, bevor du tippst. Prüfe die Vorschau des Scanners und die endgültige Domain.
  • Gib im Zweifel keine Passwörter oder Zahlungsdaten ein.
  • Wenn ein Link eine dringende Zahlung oder Zugangsdaten verlangt, prüfe die Anfrage außerhalb des Links.
  • Mache einen sichereren Scanner zum Standard, wenn QR-Codes regelmäßig an öffentlichen Orten gescannt werden.

Quishing funktioniert, weil es alltägliches Verhalten ausnutzt. Ein wenig Vorsicht in Kombination mit dem richtigen Werkzeug unterbricht die Angriffskette. Für alle, die auch nur gelegentlich QR-Codes scannen, nimmt ein Scanner, der Links vorab anzeigt und bereinigt, einen großen Teil des Risikos.

Ähnliche Beiträge

4.9148 Bewertungen im App Store

Link-Bereiniger und sicherer QR-Code-Scanner, der die finale URL anzeigt, bevor du tippst

Folgt jeder versteckten Weiterleitung auf deinem Gerät und entfernt Tracking-Parameter bei jedem Schritt.

Versteckte Tracker sofort entfernen
Ziele von QR-Codes aufdecken
100 % Verarbeitung auf dem Gerät
Keine Werbung, kein Tracking, kein Blödsinn
Download on the App Store
Discord
Öffne den Web-Link-Bereiniger, keine Installation erforderlich
LinkedInReddit

Folge Clean Links für App-Updates und Datenschutztipps.