QR-Puzzle: Neue Phishing-Methode knackt Unternehmensfilter

Eine raffinierte Angriffstechnik, die QR-Codes zerstückelt, umgeht zunehmend Sicherheitsscanner. In Kombination mit professionellen Phishing-Kits wird sie zur massiven Gefahr für Firmen.

Cyberkriminelle haben eine neue, tückische Methode entwickelt, um an sensible Unternehmensdaten zu gelangen. Die als „QR-Puzzle“ bekannte Taktik zerlegt schädliche QR-Codes in Einzelteile, um automatisierte E-Mail-Filter auszutricksen. Oft kommt sie gemeinsam mit dem hochentwickelten „Tycoon“-Phishing-Kit zum Einsatz. Diese Entwicklung stellt eine erhebliche Bedrohung dar, da sie etablierte Schutzmechanismen gezielt aushebelt.

So trickst das „QR-Puzzle“ die Scanner aus

Die Angreifer nutzen eine clevere Weiterentwicklung des bekannten Quishing (QR-Code-Phishing). Statt einen kompletten QR-Code als Bild zu versenden, zerlegen sie ihn in viele kleine Fragmente. Diese werden in einer HTML-Tabelle wieder zusammengesetzt – für den Empfänger entsteht so ein scheinbar normaler, scannbarer Code.

QR‑Code-Angriffe wie das neue „QR‑Puzzle“ umgehen E‑Mail-Gateways und eröffnen AiTM-Phishern den Zugang zu Unternehmenskonten. Das kostenlose Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie Sie fragmentierte QR‑Codes erkennen, Mitarbeitende praktisch schulen und mobile Weiterleitungen absichern. Enthalten sind Checklisten für Smartphone-Nutzung am Arbeitsplatz und sofort umsetzbare Kontrollen für Ihre E‑Mail-Security — ideal für IT‑Verantwortliche und Sicherheitsbeauftragte. Jetzt Anti-Phishing-Guide herunterladen

Der Clou: Automatisierte Sicherheitsscanner sind darauf programmiert, ganze Bilder zu analysieren. Die zerstückelten Teile erkennen sie oft nicht als Bedrohung. Die Phishing-Mail landet so ungefiltert im Posteingang. Scannt ein Mitarbeiter den Code mit seinem Smartphone, ist der Angriff erfolgreich.

Tycoon-Kit: Profi-Betrug aus der Baukasten-Box

Hinter vielen dieser Angriffe steckt „Tycoon 2FA“, eine sogenannte Phishing-as-a-Service (PhaaS)-Plattform. Sie ermöglicht auch technisch weniger versierten Kriminellen, hochprofessionelle Kampagnen zu starten. Das Kit ist spezialisiert darauf, Zwei-Faktor-Authentifizierung (2FA) zu umgehen – einen vermeintlich starken Schutz.

Dabei kommt eine Adversary-in-the-Middle (AiTM)-Architektur zum Einsatz. Das Opfer landet auf einer perfekt gefälschten Login-Seite, die sich zwischen Nutzer und echten Dienst (wie Microsoft 365) schaltet. Alle eingegebenen Daten, einschließlich des 2FA-Codes, werden in Echtzeit abgefangen. Die neueste Version blockiert zudem aktiv Analysen durch Sicherheitstools.

Die strategische Schwachstelle: Die „Mobile Gap“

Die Kombination aus QR-Puzzle und Tycoon-Kit nutzt eine bekannte Lücke aus: die „Mobile Gap“. Der Angriff beginnt am Arbeitsplatz-PC, wo die Phishing-E-Mail eintrifft. Wird der QR-Code jedoch mit dem Smartphone gescannt, verlässt der Datenverkehr das geschützte Firmennetzwerk.

Die Weiterleitung zur Betrugsseite erfolgt über Mobilfunk oder öffentliches WLAN. So werden firmeneigene Sicherheitsbarrieren wie E-Mail-Gateways und Web-Filter umgangen. Das FBI warnte bereits am 8. Januar vor ähnlichen, teils staatlich geförderten Angriffen via QR-Code. Die Angreifer setzen darauf, dass Sicherheitsvorkehrungen auf Mobilgeräten oft laxer sind.

Ein Trend zur Kommerzialisierung der Cyberkriminalität

Der Anstieg solcher Angriffe ist Teil eines größeren Musters: der Kommerzialisierung von Cybercrime. Phishing-as-a-Service-Plattformen senken die Eintrittsbarrieren massiv und führen zu einer Flut raffinierter Attacken.

Experten prognostizieren für 2026 eine weitere Zunahme KI-gestützter Angriffe. Generative KI könnte perfekt gefälschte Phishing-Mails und Deepfakes erstellen. Für Menschen wird es immer schwerer, Fälschungen zu erkennen. Gleichzeitig zwingen neue Regulierungen wie die EU-NIS2-Richtlinie Unternehmen, ihre Cybersicherheit nachzuweisen. Der Fokus der Angreifer verlagert sich vom „Hacken“ der Infrastruktur zum „Einloggen“ mit gestohlenen Zugangsdaten.

Wie sich Unternehmen schützen können

Gegen diese Bedrohungen hilft nur ein mehrschichtiger Ansatz:
* Mitarbeitersensibilisierung ist zentral. Beschäftigte müssen lernen, QR-Codes in unerwarteten Mails extrem skeptisch zu sehen. Nach dem Scannen sollte stets die URL geprüft werden, bevor Daten eingegeben werden.
* Technische Lösungen müssen nachrüsten. E-Mail-Sicherheitssysteme müssen in der Lage sein, auch fragmentierte oder bildlose QR-Codes zu erkennen.
* Zero-Trust-Architekturen gewinnen an Bedeutung. Dabei wird keinem Gerät und keinem Nutzer standardmäßig vertraut. Jeder Zugriff wird kontinuierlich überprüft.
* Der Schutz muss auch nicht-menschliche Identitäten wie APIs und Service-Konten umfassen. Diese verfügen oft über hohe Privilegien und sind ein lukratives Ziel für Angreifer.

PS: Die „Mobile Gap“ bleibt die Achillesferse moderner Phishing-Kampagnen. Das Anti‑Phishing‑Paket bietet praxisnahe Maßnahmen für Zero‑Trust-Grundlagen, konkrete Vorgaben fürs sichere Scannen von QR‑Codes mit Privatgeräten und fertige Vorlagen für Mitarbeiterschulungen. IT‑Verantwortliche erhalten sofort umsetzbare Checklisten, mit denen sich mobile Angriffsvektoren schnell schließen lassen — und das ohne großes Budget. Anti-Phishing-Paket jetzt kostenlos anfordern