Quishing: Betrug durch manipulierte QR-Codes

Was ist Quishing?

Quishing bezeichnet Phishing-Angriffe über manipulierte QR-Codes. Kriminelle ersetzen oder überkleben echte QR-Codes mit eigenen Codes, die auf Phishing-Webseiten oder zum Download von Schadsoftware führen. Der Begriff setzt sich aus 'QR-Code' und 'Phishing' zusammen.

Die Gefahr von Quishing liegt darin, dass QR-Codes für das menschliche Auge nicht lesbar sind. Erst nach dem Scannen zeigt sich das Ziel des Links, und viele Nutzer überprüfen die URL nicht vor dem Öffnen. Zudem umgehen QR-Codes in gedruckter Form klassische E-Mail-Spamfilter und Sicherheitssoftware.

Wo Quishing-Gefahren lauern

An Parkautomaten und E-Ladesäulen kleben Betrüger gefälschte QR-Codes über die echten Zahlungscodes. Nutzer werden auf eine täuschend echte Bezahlseite geleitet, wo sie ihre Kreditkartendaten eingeben. Die Betrüger kassieren die Daten, während das Parkticket nie bezahlt wird.

Auch in Restaurants werden gefälschte QR-Codes auf Tischaufsteller oder Speisekarten geklebt. Statt zur digitalen Speisekarte führen sie zu einer Phishing-Seite. Selbst in Briefkästen landen mittlerweile Flyer mit manipulierten QR-Codes, die angeblich zu Rabattaktionen oder Gewinnspielen führen.

Per E-Mail versendete QR-Codes sind eine neuere Variante. Da viele E-Mail-Sicherheitslösungen QR-Codes nicht auswerten können, umgehen die Betrüger so die Spamfilter. Die E-Mails tarnen sich als Benachrichtigungen von Banken, Paketdiensten oder Behörden.

Manipulierte QR-Codes erkennen

Prüfen Sie bei physischen QR-Codes, ob ein Aufkleber über einem bestehenden Code angebracht wurde. Fühlen Sie mit dem Finger, ob der Code plan auf der Oberfläche liegt oder ob sich eine Erhebung erkennen lässt. Bei Parkautomaten und Ladesäulen sind aufgeklebte QR-Codes ein deutliches Warnsignal.

Nutzen Sie einen QR-Code-Scanner, der die Ziel-URL vor dem Öffnen anzeigt. Die Kamera-Apps von iOS und Android zeigen die URL in der Regel an. Prüfen Sie, ob die angezeigte Webadresse zur erwarteten Organisation passt, bevor Sie den Link öffnen.

Schutzmaßnahmen gegen Quishing

Scannen Sie QR-Codes nur aus vertrauenswürdigen Quellen und prüfen Sie stets die Ziel-URL vor dem Öffnen. Wenn eine Zahlungsseite aufgerufen wird, vergewissern Sie sich, dass die URL korrekt ist und eine verschlüsselte HTTPS-Verbindung besteht. Geben Sie Zahlungsdaten nur auf bekannten und geprüften Seiten ein.

Verwenden Sie nach Möglichkeit die offiziellen Apps der Anbieter statt QR-Codes. Für Parkgebühren gibt es beispielsweise Apps wie EasyPark, die eine sichere Bezahlung ermöglichen. Bei E-Ladesäulen nutzen Sie die App des Betreibers direkt.

Halten Sie Ihr Smartphone-Betriebssystem aktuell und installieren Sie eine Sicherheits-App, die vor schädlichen Webseiten warnt. Viele moderne Sicherheitslösungen können auch beim Scannen von QR-Codes vor gefährlichen Links warnen.

Quishing melden und Hilfe erhalten

Wenn Sie einen manipulierten QR-Code entdecken, informieren Sie den Betreiber des betroffenen Automaten oder Geschäfts. Entfernen Sie den gefälschten Aufkleber wenn möglich oder markieren Sie ihn als Warnung. Erstatten Sie Anzeige bei der Polizei und melden Sie den Vorfall der zuständigen Verbraucherzentrale.

Haben Sie bereits Daten auf einer Phishing-Seite eingegeben, handeln Sie sofort. Lassen Sie Ihre Kreditkarte oder Bankkarte sperren und ändern Sie betroffene Passwörter. Überprüfen Sie Ihre Kontobewegungen in den folgenden Wochen besonders aufmerksam.