This was a simulated phishing attack. Das war ein simulierter Phishing-Angriff.
You just scanned a QR code from a suspicious email. Nothing was infected this time — but in a real "quishing" attack, that single scan can lead straight to a fake login page on your phone. Sie haben gerade einen QR-Code aus einer verdächtigen E-Mail gescannt. Diesmal ist nichts passiert — bei einem echten „Quishing“-Angriff führt ein einziger Scan direkt zu einer gefälschten Anmeldeseite auf Ihrem Handy.
What would have happened in a real attack Was bei einem echten Angriff passiert wäre
QR-code phishing — "quishing" — has exploded since 2023. Attackers embed a QR code in an email or a printed flyer in the office, often disguised as a Microsoft 365 re-authentication notice, a parking payment, or a "scan to view document" prompt.
The trick has two purposes. First, QR codes hide the destination URL from the email scanner — the code is an image, not text, so traditional URL filtering can't read it. Second, scanning a code with your phone moves you off your managed work laptop and onto a personal device that doesn't have the same security tools, and where the address bar is so small that lookalike URLs are easier to miss.
The destination is almost always a credential page imitating Microsoft, Google, or your bank. From there, it's a normal credential theft attack — but launched from a vector most email scanners can't see.
QR-Code-Phishing — „Quishing“ — hat seit 2023 stark zugenommen. Angreifer betten einen QR-Code in eine E-Mail ein oder hängen ihn als Flyer im Büro auf, oft getarnt als Microsoft-365-Re-Authentifizierung, Parkgebühr oder Aufforderung „Zum Anzeigen scannen“.
Der Trick hat zwei Ziele. Erstens versteckt ein QR-Code die Zieladresse vor dem E-Mail-Scanner — der Code ist ein Bild, kein Text, klassische URL-Filter können ihn nicht lesen. Zweitens verschiebt das Scannen mit dem Handy Sie weg vom verwalteten Arbeitsgerät hin zu einem privaten Gerät ohne dieselben Schutzmaßnahmen — und auf dem kleinen Bildschirm sind ähnlich aussehende URLs schwerer zu erkennen.
Das Ziel ist fast immer eine Anmeldeseite, die Microsoft, Google oder Ihre Bank imitiert. Ab dort läuft ein normaler Credential-Diebstahl ab — nur über einen Kanal, den die meisten E-Mail-Scanner nicht sehen.
Red flags you could have spotted Warnsignale, die Sie hätten erkennen können
- An email asking you to scan a QR code. Microsoft, your bank, and HR systems do not ask you to scan a code from your laptop to sign in on your phone. E-Mail mit der Aufforderung, einen QR-Code zu scannen. Microsoft, Ihre Bank oder HR-Systeme fordern Sie nicht auf, einen Code vom Laptop mit dem Handy zu scannen, um sich anzumelden.
- The email is almost entirely an image. Little text, one big QR code, designed to slip past spam filters. Die E-Mail besteht fast nur aus einem Bild. Wenig Text, ein großer QR-Code — gestaltet, um Spamfilter zu umgehen.
- "Re-authenticate" or "MFA expired" framing. Real MFA prompts happen in the Authenticator app, not via an emailed QR code. „Neu authentifizieren“ oder „MFA abgelaufen“. Echte MFA-Aufforderungen erscheinen in der Authenticator-App, nicht als E-Mail mit QR-Code.
- QR code printed in an unusual place. A "free parking" sticker on the building, a poster in the kitchen with no name behind it, a flyer slipped under the office door. QR-Code an einer ungewöhnlichen Stelle. Ein „Gratis-Parken“-Aufkleber am Gebäude, ein anonymes Plakat in der Küche, ein Flyer unter der Bürotür.
- Preview URL didn't match the supposed sender. Most phone cameras now show the URL before opening — and the domain wasn't Microsoft, wasn't your bank, wasn't Zevvy. Die Vorschau-URL passte nicht zum angeblichen Absender. Die meisten Smartphone-Kameras zeigen die URL vor dem Öffnen — und sie war weder von Microsoft, noch von Ihrer Bank, noch von Zevvy.
Next time, do this instead So machen Sie es beim nächsten Mal
- Don't scan QR codes from emails. If a service really wants you to authenticate on your phone, open the app on your phone yourself. Scannen Sie keine QR-Codes aus E-Mails. Wenn ein Dienst Sie wirklich auf dem Handy authentifizieren will, öffnen Sie die App direkt auf dem Handy.
- Read the URL preview before tapping. Modern phone cameras show the destination URL. Read it like an email link — right to left, and verify the domain. Lesen Sie die URL-Vorschau, bevor Sie tippen. Moderne Smartphone-Kameras zeigen die Ziel-URL. Lesen Sie sie wie einen E-Mail-Link — von rechts nach links und prüfen Sie die Domain.
- Be doubly careful on personal devices. Your phone usually lacks the protections of your work laptop. Don't sign in to work accounts after scanning a code. Doppelt vorsichtig auf privaten Geräten. Ihr Handy hat in der Regel weniger Schutz als das Arbeitsgerät. Melden Sie sich nach dem Scan nicht in Arbeitskonten an.
- Be suspicious of "anonymous" QR codes in public spaces. Restaurant menus and parking meters are usually fine; unbranded codes stuck on doors or posters are not. Misstrauen Sie „anonymen“ QR-Codes im öffentlichen Raum. Restaurant-Menüs und Parkuhren sind meist in Ordnung; unmarkierte Codes an Türen oder Plakaten nicht.
- If you already scanned and signed in — change your password and report. Same response as any credential phishing incident. Schon gescannt und angemeldet? Passwort ändern und melden. Gleiche Reaktion wie bei jedem Credential-Phishing-Vorfall.
Report suspicious emails Verdächtige E-Mails melden
If you receive an email that feels off — report it. Even if you're not sure. False alarms are welcome; missed real attacks are not.
- In Outlook, click the Report button in the ribbon and choose Phishing.
- Or forward the email as an attachment to security@zevvy.org.
- If you scanned a code and entered credentials, contact IT immediately: it@zevvy.org.
Wenn Ihnen eine E-Mail komisch vorkommt — melden Sie sie. Auch wenn Sie unsicher sind. Fehlalarme sind willkommen; übersehene echte Angriffe nicht.
- In Outlook klicken Sie im Menüband auf Melden und wählen Phishing.
- Oder leiten Sie die E-Mail als Anhang an security@zevvy.org weiter.
- Wenn Sie einen Code gescannt und Zugangsdaten eingegeben haben, kontaktieren Sie sofort die IT: it@zevvy.org.