QR-Code-Phishing: Nordkorea nutzt neue Angriffswelle

Eine Warnung des FBI vor gefälschten QR-Codes markiert eine gefährliche Wende in der Cyberkriegsführung. Die Angriffe zielen gezielt auf europäische und deutsche Institutionen.

Eine raffinierte Welle von QR-Code-Phishing-Angriffen, sogenanntes „Quishing“, hat eine scharfe Warnung der US-Bundesbehörden ausgelöst. In einer Dringlichkeitsmeldung warnte das FBI kürzlich, dass nordkoreanische, staatlich unterstützte Hacker QR-Codes nutzen, um Sicherheitsbarrieren zu umgehen. Ihre Ziele: Regierungen, Denkfabriken und Nichtregierungsorganisationen in den USA, Südkorea und Europa.

Hinter der Kampagne steht die als Kimsuky bekannte Hackergruppe. Sie tarnt bösartige QR-Codes in E-Mails als Einladungen, Umfragen oder Dokumentenlinks. Der Trick: Herkömmliche E-Mail-Sicherheitssysteme scannen Text und Anhänge – ein QR-Code als Bild entgeht dieser Prüfung oft. Das Opfer scannt den Code mit dem Smartphone und wechselt so unbeabsichtigt vom gesicherten Arbeitsgerät zum oft schlechter geschützten Privathandy.

Fünfmal mehr Angriffe: Der mobile Blindpunkt

Die gezielten Attacken sind Teil eines globalen Booms. Neue Branchendaten zeigen einen fünffachen Anstieg von QR-Code-Phishing zwischen August und November 2025. Cyberkriminelle nutzen das hohe Erfolgspotenzial mobiler Angriffe aus. Sicherheitslösungen für Smartphones hinken ihren Desktop-Pendants oft hinterher.

Nutzer werden auf täuschend echte Login-Seiten von Diensten wie Microsoft 365 oder Google Workspace geleitet. Die größte Gefahr: Angreifer erbeuten nicht nur Passwörter, sondern auch Sitzungstokens. Damit umgehen sie die Zwei-Faktor-Authentifizierung und gelangen langfristig in Cloud-Umgebungen – ohne dass Alarm ausgelöst wird.

QR‑Code‑Phishing gelingt genau deshalb so oft — herkömmliche E‑Mail‑Scanner übersehen das Bild, und Angreifer leiten Opfer auf täuschend echte Login‑Seiten, um Sitzungscookies zu stehlen. Branchenzahlen zeigen einen fünffachen Anstieg solcher Attacken in wenigen Monaten. Ein kostenloser 4‑Schritte‑Leitfaden erklärt, wie IT‑Teams und Verantwortliche Phishing technisch erkennen, Mitarbeiter gezielt schulen und sofort wirksame Abwehrmaßnahmen implementieren. Jetzt das kostenlose Anti‑Phishing‑Paket herunterladen

So umgehen Hacker die Abwehr

Die technische Raffinesse liegt in der Einfachheit. Der QR-Code überbrückt eine kritische Sicherheitslücke:
1. Die Phishing-E-Mail enthält nur ein Bild (den Code), keine verdächtigen Links.
2. Beim Scannen prüft der Angreifer-Server, ob ein mobiles Gerät zugreift.
3. Nur dann wird die betrügerische Login-Seite ausgeliefert.
4. Eingegebene Zugangsdaten und MFA-Codes werden in Echtzeit an den echten Dienst weitergeleitet, um den Session-Cookie zu stehlen.

Diese Methode macht Sicherheitszentren (SOCs) vorerst blind, da der erste Kompromittierungsschritt auf einem privaten Gerät außerhalb ihrer Kontrolle stattfindet.

Neue Schutzmaßnahmen werden notwendig

Als Reaktion raten das FBI und Cybersicherheitsexperten zu drastischen Maßnahmen:
* QR-Codes in offizieller Kommunikation streng limitieren, um die Gewöhnung der Nutzer zu reduzieren.
* Phishing-resistente Multi-Faktor-Authentifizierung (FIDO2-Standard) einführen.
* Sensibilisierungskampagnen starten: Mitarbeiter müssen für die Gefahr unsolicitierter QR-Codes – auch im privaten Umfeld – geschult werden.

Branchenbeobachter warnen, dass die Technik bald auch von Ransomware-Gruppen übernommen werden könnte. Für 2026 prognostizieren Analysten weitere Evolution: Attacken mit verschleierten QR-Codes oder deren Einbettung in PDF-Anhänge. Der Druck auf Unternehmen wächst, Mobile-Device-Management-Lösungen einzusetzen, die auch über die Kamera gescannte URLs überprüfen können.

Die Botschaft ist klar: Der einst so bequeme QR-Code ist zu einem ernstzunehmenden Einfallstor geworden. Ohne eine Anpassung des Nutzerverhaltens und der Sicherheitsstrategie wird die Angriffswelle nicht abebben.

Übrigens: Sensibilisierung und klare Prozesse sind jetzt entscheidend — mit der richtigen Anleitung lassen sich mobile Angriffe deutlich reduzieren. Das Anti‑Phishing‑Paket liefert eine praxisnahe 4‑Schritte‑Anleitung, zeigt psychologische Trickmuster, branchenspezifische Gefahren und Sofortmaßnahmen für Mitarbeiter und Admins, damit Quishing-Angriffe früh erkannt und abgewehrt werden. Kostenlosen Anti‑Phishing‑Guide anfordern