Ein Parkplatz in Bratislava. Jemand klebt QR-Codes an Windschutzscheiben. Sie sehen aus wie Strafzettel. Das sind sie nicht.
Scannen Sie einen mit Ihrem Telefon, landen Sie auf einer Seite, die genauso aussieht wie ein slowakisches Behördenportal. Ein Formular fragt nach Ihrem Namen, Ihrer nationalen Identifikationsnummer und den Angaben Ihres Personalausweises. Sie denken, Sie hätten einen Strafzettel. Sie wollen die Sache schnell erledigen. Und genau in diesem Moment bekommt der Angreifer, was er braucht.
Das nationale CSIRT der Slowakei (Computer Security Incident Response Team), das dem Ministerium für Investitionen, regionale Entwicklung und Informatisierung (bekannt unter dem slowakischen Kürzel MIRRI) untersteht, entdeckte diese Kampagne Anfang April und gab eine öffentliche Warnung heraus. Doch die QR-Aufkleber sind nur ein Teil davon.
Die gefälschten Behördenwebsites
Das CSIRT fand platby-mvsr.sk, das sich als Zahlungsportal des Innenministeriums ausgibt. Und sk-slovensko.web.app, einen Klon von slovensko.sk, dem offiziellen E-Government-Portal der Slowakei, im Grunde das Gegenstück zu gov.uk oder id.me, über das Bürger auf Steuererklärungen, elektronische Postfächer und öffentliche Dienste zugreifen.
Der Klon wurde auf Firebase gehostet, der kostenlosen Hosting-Plattform von Google. Kostenlos einzurichten. Automatisches HTTPS-Zertifikat. Ein Angreifer kann in weniger als einer Stunde eine überzeugende gefälschte Behördenwebsite betreiben. Das Schlosssymbol in Ihrem Browser? Es bedeutet nur, dass die Verbindung verschlüsselt ist. Über die Person am anderen Ende sagt es nichts aus.
Beide Seiten hatten die richtigen Logos, die richtigen Farben, die richtigen Formulare. Manche verlangten eine direkte Zahlung, angeblich für die Bearbeitung eines amtlichen Dokuments.
Die Kampagne nutzt außerdem SMS-Nachrichten, die behaupten, Ihr Zugang zu den Behördendiensten werde innerhalb von 24 Stunden deaktiviert, wenn Sie sich nicht über einen Link verifizieren. Für Slowaken ist der Verlust des Zugangs zu ihrem elektronischen Postfach auf slovensko.sk ein echtes Problem, denn dort geht die offizielle Behördenpost ein. Also klicken die Leute.
Warum die QR-Aufkleber-Taktik weltweit von Bedeutung ist
Das ist nicht nur ein slowakisches Problem. QR-basiertes Phishing (manchmal „Quishing" genannt) wurde von CERT-Teams in ganz Europa gemeldet, etwa in Tschechien, Polen und Österreich. Doch der Aspekt des physischen Aufklebers macht die slowakische Kampagne interessant.
Die meisten Menschen ahnen zumindest vage, dass Phishing per E-Mail kommt. Physische Aufkleber umgehen diesen Instinkt vollständig. Etwas Gedrucktes. Von einer Person an Ihr Auto geklebt. Das wirkt offiziell. Als hätte eine Behörde gehandelt.
Und wenn Sie einen QR-Code mit Ihrem Telefon scannen, befinden Sie sich plötzlich außerhalb jeder Sicherheitsgrenze, die Ihr Unternehmen aufgebaut hat. Keine Firmen-Firewall. Keine E-Mail-Filterung. Kein Endgeräteschutz. Nur ein mobiler Browser und eine gefälschte Seite.
Das Geschäftsrisiko, über das niemand spricht
Wenn ein Mitarbeiter einen dieser QR-Codes mit einem privaten Telefon scannt, auf dem auch die Firmen-E-Mail und der Zugang zu internen Systemen liegen, wird ein kompromittiertes Passwort zum Einfallstor in die Unternehmensinfrastruktur. BYOD-Richtlinien verstärken das noch: Privates und Berufliches auf demselben Gerät, im selben Browser, mit denselben gespeicherten Passwörtern.
Und wenn Angreifer Ministeriumswebsites klonen, können sie genauso leicht Ihr Kundenportal oder Ihr Rechnungssystem klonen. Eine Domain wie invoicing-yourcompany.com kostet ein paar Euro. Innerhalb einer Stunde hat Ihre Anmeldeseite einen Zwilling, den Sie nicht kontrollieren. Wenn ein Kunde darüber Opfer von Phishing wird, gibt er nicht dem Angreifer die Schuld. Er gibt sie Ihnen.
Firmentelefonnummern sind nicht schwer zu finden. Öffentliche Handelsregister, LinkedIn-Profile, Unternehmenswebsites. SMS-Phishing-Kampagnen können Ihr Vertriebsteam genauso leicht treffen wie Privatpersonen.
Zur Einordnung: Die ENISA beziffert den durchschnittlichen Cybersicherheits-Reifegrad der EU auf 62,65 von 100. Die Einzelwerte der Länder sind nicht öffentlich, aber Kampagnen wie diese tauchen in der gesamten Union auf. Der Angriff ist überall derselbe. Nur die Sprache ändert sich.
Was Sie konkret dagegen tun können
Wenn DMARC auf Ihrer Domain nicht im reject-Modus läuft, können Angreifer E-Mails versenden, die aussehen, als kämen sie von Ihnen. Ihre Kunden erhalten sie. Sie erfahren es nie. Die Einrichtung von SPF + DKIM + DMARC dauert Stunden, nicht Wochen.
DNS-Sperren über Dienste wie Cloudflare Gateway oder Cisco Umbrella können bekannte Phishing-Domains stoppen, bevor die Seite überhaupt zu laden beginnt. Für Unternehmen mit weniger als 100 Mitarbeitern gibt es kostenlose Tarife.
Ihre Sicherheitsrichtlinie erwähnt QR-Codes wahrscheinlich noch nicht. Das sollte sie. Die Regel passt in eine Zeile. Keine ungeprüften QR-Codes auf Firmengeräten scannen, und physische Aufkleber vor dem Handeln überprüfen. Damit schließen Sie eine Lücke, an die die meisten Organisationen noch nicht gedacht haben. In E-Mails eingebettete QR-Codes sind fast immer verdächtig.
Schicken Sie Ihrem Team die konkreten Domains, die das CSIRT gemeldet hat. Fügen Sie Screenshots der gefälschten Seiten bei. Allgemeine „Seien Sie vorsichtig"-Nachrichten werden ignoriert. Ein Screenshot eines gefälschten Formulars, das nach einer nationalen Identifikationsnummer fragt, bleibt im Gedächtnis.
So erkennen Sie eine gefälschte Behördenwebsite
Slowakische Behördenseiten laufen auf .gov.sk oder slovensko.sk. Alles auf .web.app, .site, .online oder mit Bindestrichen, die einen Ministeriumsnamen nachahmen, ist verdächtig. Wenn eine Seite über ein einfaches Formular ohne eID-Authentifizierung nach nationalen Identifikationsnummern fragt, ist sie nicht legitim. Und wenn eine SMS mit einer 24-Stunden-Frist eintrifft, sollten Sie wissen: Kein echter Behördendienst entzieht Ihnen so schnell den Zugang, ohne Sie vorher per Post zu benachrichtigen.
Dieses Muster gilt in ganz Europa. Prüfen Sie die Domain. Prüfen Sie die Authentifizierungsmethode. Wenn es dringend wirkt, machen Sie langsam.
Wir führen Workshops zur Phishing-Erkennung für Unternehmensteams durch. 90 Minuten, praxisnah, mit echten Beispielen, darunter die slowakischen, die das CSIRT diesen Monat gemeldet hat. Wir machen das, weil wir gesehen haben, wie Menschen reagieren, wenn sie eine echte lokale Phishing-Seite auf dem Bildschirm sehen: Es macht Klick, wie es abstrakte Warnungen nie schaffen. Wenn das nützlich klingt, melden Sie sich.
Weiterführende Artikel: