Quishing: Diese dreiste QR-Code-Betrugsmasche solltet ihr kennen

Dreiste Betrugsmasche „Quishing”

Warum ihr bei QR-Codes vorsichtig sein solltet

Frau scannt QR-Code eines offiziellen Schreibens. — Knöllchen an der Windschutzscheibe und ihr wollt schnell via QR-Code bezahlen? Wir erklären, warum ihr sicherheitshalber nicht zu schnell handeln solltet. (Symbolbild).
Picture Alliance

Ein Knöllchen, wie ärgerlich!
Aber aufgepasst: Autofahrer sollten Strafzettel am Auto nicht blind einscannen und bezahlen, denn es könnte sich eine Betrugsmasche dahinter verbergen. Wann ihr besonders aufpassen solltet, erfahrt ihr hier.

QR-Codes fast überall, doch nicht immer seriös

QR-Codes gehören mittlerweile zu unserem Alltag.

Die kleinen Codes - das „QR“ steht übrigens für Quick Response - sind an vielen Stellen zu finden, in Restaurants, beim Mieten von E-Scootern oder für Rabatte bei Essensbestellungen. Praktisch ist, dass man die QR-Codes nur schnell mit der Kamera-App abscannen muss, und dann automatisch zu einer integrierten Internetadresse geleitet wird. Doch diese einfache Nutzbarkeit hat auch ihre Schattenseiten.

Kriminelle nutzen häufig gefälschte QR-Codes, um Nutzer auf manipulierte Webseiten zu locken. Aktuell warnt auch die Duisburger Polizei davor und nennt diese Methode „Quishing”. Dabei handelt es sich um eine Kombination aus QR-Code und Phishing.

Lese-Tipp: Paypal-Kunden aufgepasst! Verbraucherzentrale warnt vor neuer Phishing-Masche

Falscher QR-Code: Frau wird zum Opfer von Spyware

Quishing kann auch bei Strafzetteln vorkommen!

Dort läuft dann Spyware oder es werden Bezahldaten abgegriffen, wenn die Verbraucher den Knöllchen-Betrag überweisen wollen. Viel Aufsehen erregt gerade eine Abzocke via QR-Code, die 2023 einer Frau in Singapur widerfahren sein soll.

Wie chip.de berichtet, hatte sie einen QR-Code gescannt, um ein Gratis-Getränk in einem Bubble-Tea-Shop zu bekommen. Der Code war auf die Eingangstür geklebt worden, stammte aber, anders als von der Frau angenommen, gar nicht von den Inhabern, sondern von Betrügern. Bei der für die angebliche Umfrage benötigte App handelte es sich um Malware und die Kriminellen bedienten sich kurz darauf an ihrem Bankkonto. Dadurch soll bei der Frau ein Schaden in Höhe von umgerechnet etwa 18.000 Euro entstanden sein.

Lese-Tipp: Wie Betrüger per Brief und Mail versuchen, Sparkassen-Konten zu leeren

Empfehlungen unserer Partner

Immer mehr Dokumente mit QR-Code

In Deutschland werden längst noch nicht alle Strafzetteln digitalisiert ausgegeben, doch einige Gegenden und häufig vor allem Großstädte nutzen bereits QR-Codes. Prüft daher unbedingt vor dem Scan die Echtheit der Dokumente – sonst zahlt ihr ein vermeintliches Bußgeld an Betrüger und bemerkt den Trick gar nicht.

Die Gefahr bei QR-Codes ist, dass auf den ersten Blick nicht ersichtlich ist, wohin der eingebettete Link führt. Er kann auf eine offizielle Seite verweisen, zum Beispiel eine Ticket-Plattform, aber eben auch auf Fake-Shops. Das zu wissen, ist wichtig. Vertraut also nicht jedem QR-Code, der irgendwo aufgeklebt ist.

Lese-Tipp: Post von der Bank? Vorsicht vor diesem QR-Code!

Im Video: Achtung! Betrugsversuche im Briefkasten

Fake-QR-Codes: Neun Tipps, wie ihr euch schützt

Das Bundesamt für Sicherheit in der Informationstechnik hat schon vor zehn Jahren vor überklebten QR-Codes auf Plakaten gewarnt, die den Anwender auf unseriöse Webseiten führen. Um euch zu schützen, sollte ihre folgendes beachten:

Handy aktuell halten: Haltet euer Android/iOS auf dem aktuellsten Stand und installiert möglichst zeitig Updates eurer Apps.
Kamera-App: Nutzt zum Scannen die eingebauten Kamera-Apps bei Android und iOS.
Webseiten prüfen: Auch wenn ihr schon weitergeleitet wurdet, solltet ihr einen genauen Blick auf die Webseite werfen. Ist sie vertrauenswürdig?
Daten sparen: Seid sparsam mit sensiblen Login- oder Bezahldaten, wenn ihr über QR-Codes auf Webseiten weitergeleitet werdet. Brecht im Zweifelsfall die Transaktion lieber vorzeitig ab.
Seiten prüfen: Auch wenn ihr schon weitergeleitet wurdet, solltet ihr einen genauen Blick auf die Webseite werfen. Ist sie vertrauenswürdig?
Link-Vorschau: Android und iOS öffnen die hinterlegten Webseiten nicht automatisch, sondern zeigen die URL als Vorschau an. Prüft, ob diese Adresse vertrauenswürdig aussieht. Vorsicht ist hier vor allem bei verkürzten Links geboten.
Fake-Sticker: Bei physischen QR-Codes solltet ihr sicherstellen, dass echte Codes nicht mit anderen Codes überklebt wurden.
Mail-Anhänge: Auch QR-Codes als Mail-Anhang werden gern genutzt, um den Phishing-Schutz zu narren. Scannt die Bilder nicht mit eurem Handy ab, hier lauert meist der Betrug.
Zusatz-Apps: Vermeidet das Herunterladen von Apps über QR-Codes. Geht stattdessen in die offiziellen App-Stores und holt euch die Apps dort

Wenn ihr diese Tipps beachtet, müsst ihr euch mit hoher Wahrscheinlichkeit keine Sorgen machen, zum Opfer des Quishings zu werden. „Der beste Schutz vor QR-Code-Betrug besteht darin, vorsichtig zu sein und misstrauisch zu bleiben“, rät auch die Polizei Duisburg abschließend. (mjä)