Barracuda full logo

FBI warnt vor Spear-Phishing-Angriffskampagne aus Nordkorea

Themen:
20. Jan.. 2026
|
Mike Vizard

Wie raffinierte QR-Code-Phishing-Methoden Unternehmen und Einzelpersonen bedrohen

Die wichtigsten Erkenntnisse

  • Das FBI hat eine Warnung vor fortgeschrittenen Spear-Phishing-Kampagnen aus Nordkorea mittels QR-Phishing-Taktiken (Quishing) herausgegeben.
  • Kimsuky, eine staatlich geförderte Cybergruppe, ist von der wahllosen Verteilung von QR-Codes dazu übergegangen, bestimmte Personen und Organisationen durch personalisierte E-Mails anzusprechen.
  • Bei Quishing-Angriffen werden bösartige QR-Codes eingesetzt, die auf gefälschte Webseiten verlinken und so das Herunterladen von Malware oder das Sammeln von Daten ermöglichen, während herkömmliche Security-Maßnahmen umgangen werden.
  • Quishing ist schwer zu erkennen, da in E-Mails eingebettete QR-Codes die URL-Prüfung und Security-Sandboxes umgehen können.

Das Federal Bureau of Investigation (FBI) hat eine Sofortwarnung herausgegeben, die vor einer nordkoreanischen, staatlich geförderten Cyber-Bedrohungsgruppe namens Kimsuky warnt. Diese Gruppe hat ihre Taktiken und Techniken für QR-Code-Phishing, auch bekannt als Quishing, weiterentwickelt, um Spear-Phishing-Kampagnen zu erstellen, die auf bestimmte Personen abzielen.

Quishing-Angriffe beruhen auf bösartigen QR-Codes, die Links zu betrügerischen Webseiten enthalten. Darüber werden Malware heruntergeladen oder sensible Daten über eine Website gesammelt, die völlig legitim aussieht.

Das FBI informiert Cybersecurity-Fachkräfte darüber, dass die Kimsuky-Gruppe anstatt der willkürlichen Verteilung von QR-Codes nun versucht, gezielt bestimmte Personen ins Visier zu nehmen. So schickte beispielsweise im Mai letzten Jahres ein Bedrohungsakteur, der sich als ausländischer Berater ausgab, eine E-Mail mit der Bitte eines Thinktank-Leiters um Einblicke zu den jüngsten Entwicklungen auf der koreanischen Halbinsel. Die E-Mail enthielt einen QR-Code, der gescannt werden musste, um Zugang zu einem Fragebogen zu erhalten. Später im selben Monat schickten Kimsuky-Akteure, die Spoofing eines Botschaftsangestellten betrieben, eine E-Mail, in der sie einen leitenden Mitarbeiter eines Think Tanks um Informationen zu nordkoreanischen Menschenrechtsfragen baten. Die E-Mail enthielt einen QR-Code, der angeblich Zugriff auf ein sicheres Laufwerk gewähren sollte.

Im vergangenen Mai verschickten Cyberakteure von Kimsuky, die sich als Mitarbeiter eines Think Tanks ausgaben, eine E-Mail mit einem QR-Code, der beim Scannen die Zielperson zu einer Kimsuky-Infrastruktur führte, die für bösartige Aktivitäten konzipiert war. Im Juni 2025 schickten sie einer strategischen Beratungsfirma eine Spear-Phishing-E-Mail und luden die Empfänger zu einer nicht existierenden Konferenz ein. Die E-Mail enthielt einen QR-Code, der den Nutzer zu einer Seite mit einer Schaltfläche für die Registrierung führte. Diese Schaltfläche führte Besucher zu einer gefälschten Google-Konto-Anmeldeseite, über die die Zugangsdaten der Nutzer erfasst wurden.

Warum Quishing-Angriffe so gefährlich sind

Quishing-Angriffe sind extrem schwer zu erkennen und mit zunehmender Zielerfassung potenziell schädlicher. Sie enthalten häufig QR-Bilder als E-Mail-Anhänge oder eingebettete Grafiken, wodurch sie URL-Inspektion, Umschreiben und Sandboxing umgehen. Nach dem Scannen werden die Opfer durch vom Angreifer kontrollierte Umleitungen geleitet, die Geräte- und Identitätsattribute wie Betriebssystem und IP-Adresse sammeln, um die Nutzer auf eine gefälschte Webseite zu leiten, die glaubwürdig erscheint.

Sobald sich der Nutzer anmeldet, setzen die Angreifer dem Ganzen noch eines drauf, indem sie auch Token stehlen, die später verwendet werden können, um die Multifaktor-Authentifizierungsprotokolle (MFA) zu umgehen, auf die sich viele Anbieter von Cloud-Anwendungen und -Diensten zur Sicherung ihrer Umgebungen verlassen.

So schützen Sie sich vor Quishing-Angriffen

Zusätzlich zur Bereitstellung von Mobile Device Management (MDM)- oder Endpoint-Sicherheitslösungen, die in der Lage sind, URLs zu analysieren, bei denen bösartige QR-Codes versuchen, einen Endbenutzer auf eine gefälschte Website umzuleiten, rät das FBI Cybersicherheitsteams sicherzustellen, dass die Endbenutzer sich der mit QR-Codes verbundenen Risiken bewusst sind.

Darüber hinaus sollten Organisationen für alle Fernzugriffe und sensiblen Systeme eine Phishing-resistente Multi-Faktor-Authentifizierung einsetzen, alle Eingaben von Zugangsdaten und Netzwerkaktivitäten im Zusammenhang mit QR-Codes überwachen und strenge Passwortrichtlinien für alle Dienste durchsetzen, wobei besonderes Augenmerk auf Länge, Einzigartigkeit und sichere Speicherung zu legen ist.

Schließlich schlägt das FBI vor, dass Unternehmen die Zugriffsberechtigungen gemäß dem Prinzip der geringsten Rechte überprüfen, regelmäßig nach ungenutzten oder übermäßigen Kontoberechtigungen suchen, Antiviren- und Anti-Malware-Tools aktualisieren und, wenn möglich, bekannte Schwachstellen auf Geräten beheben, die zum Scannen von QR-Codes verwendet werden.

Quishing ist natürlich nur eine Methode, über die Nordkorea letztlich seine Barreserven zur Finanzierung seines Rüstungsprogramms erhöhen will. Dazu gehört auch, nordkoreanischen Staatsbürgern zu ermöglichen, Teil einer IT-Abteilung zu werden, die dann ihren Insiderzugriff nutzen, um Daten zu stehlen. Die Herausforderung besteht wie immer darin, dass die Taktiken und Techniken, die zur Erreichung dieses Ziels eingesetzt werden, mit jedem Tag nur noch heimtückischer werden.

Abonnieren Sie den Barracuda-Blog
Mike Vizard

Mike Vizard berichtet seit mehr als 25 Jahren über Themen aus dem IT-Bereich und hat eine Reihe von Publikationen im Bereich Technologie herausgegeben oder zu diesen beigetragen – darunter InfoWorld, eWeek, CRN, Baseline, ComputerWorld, TMCNet und Digital Review. Derzeit bloggt er für IT Business Edge und wirkt bei CIOinsight, The Channel Insider, Programmableweb und Slashdot mit. Mike bloggt außerdem über aufkommende Cloud-Technologie für SmarterMSP.

Verbinde dich mit Mike auf LinkedIn oder Twitter.

Verwandte Beiträge:
Warum mehrschichtiger Schutz für Google Workspace wichtig ist
Warum mehrschichtiger Schutz für Google Workspace wichtig ist
 Aufeinanderfolgende Auszeichnungen im Bereich E-Mail-Sicherheit und XDR
Aufeinanderfolgende Auszeichnungen im Bereich E-Mail-Sicherheit und XDR
 Eine Welle KI-gestützter E-Mail-Bedrohungen schwappte herein. Barracuda hat den Zufluss gestoppt.
Eine Welle KI-gestützter E-Mail-Bedrohungen schwappte herein. Barracuda hat den Zufluss gestoppt.
 Aufbau von Cyberresilienz im großen Maßstab: Was gibt es bei BarracudaONE Neues – und wie verstärkt unser modernisiertes Partnerprogramm dies?
Aufbau von Cyberresilienz im großen Maßstab: Was gibt es bei BarracudaONE Neues – und wie verstärkt unser modernisiertes Partnerprogramm dies?
Den Blog durchsuchen

Bericht über E-Mail-Sicherheitsverletzungen 2025

Wichtige Erkenntnisse über die Erfahrungen mit und Auswirkungen von E-Mail-Sicherheitsverletzungen auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Der MSP Customer Insight Report 2025 

Ein globaler Blick darauf, was Organisationen von ihren Cybersecurity Managed Service Providers benötigen und erwarten.

Zum Report

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.