Quishing – wenn QR-Codes betrügerisch sind

QR-Codes gehören längst zum Alltag – ob beim Bezahlen im Café, auf Werbeplakaten oder bei der Paketverfolgung. Doch die praktischen Quadratmuster bergen mittlerweile ein erhebliches Sicherheitsrisiko.

Cyberkriminelle nutzen eine neue Masche namens „Quishing“, um arglose Nutzer in die Falle zu locken.

Alina Gedde, Digitalexpertin bei der Ergo Group, erklärt die Methode und gibt Tipps zum Schutz.

Was steckt hinter Quishing?

Der Begriff Quishing setzt sich zusammen aus QR (Quick Response Code) und Phishing. Bei dieser Betrugsform manipulieren Kriminelle QR-Codes oder erstellen Fälschungen, um sensible Daten abzugreifen oder Schadsoftware zu verbreiten.

Im Unterschied zu verdächtigen Links in E-Mails können QR-Codes nicht automatisch von Antivirenprogrammen überprüft werden – das macht die Masche besonders tückisch.

Die gefälschten QR-Codes tauchen auf Plakaten, in E-Mails, Briefen oder an öffentlichen Orten auf.

So gehen die Betrüger vor

Wer den Code scannt, landet auf einer professionell gestalteten Fake-Webseite, die zur Eingabe von Passwörtern, Bankdaten oder persönlichen Informationen auffordert.

In manchen Fällen startet der Scan einen sofortigen Download, der das Smartphone mit Schadsoftware infiziert. Besonders beliebt bei Kriminellen sind Online-Banking-Zugänge, Kreditkarteninformationen und persönliche Daten wie Geburtsdatum oder Adresse.

Die Codes versprechen häufig vermeintlich nützliche Dienste wie Paketverfolgung, Sprachnachrichten oder schnelles Bezahlen am Parkautomaten.

Warnzeichen erkennen

Misstrauen ist angebracht bei QR-Codes auf Aufklebern oder Zetteln an ungewöhnlichen Orten – besonders wenn sie über bereits vorhandene Codes geklebt wurden.

E-Mails oder SMS mit QR-Codes von fragwürdigen Absendern, die dringendes Handeln fordern, sind ebenfalls verdächtig. Nach dem Scan sollten Nutzer auf fehlende HTTPS-Verschlüsselung, Tippfehler in der Internetadresse oder unbekannte Domains achten.

Spätestens bei der direkten Abfrage von Passwörtern oder Zahlungsinformationen besteht akute Gefahr.

Schutzmaßnahmen im Überblick

Sicherheit bietet in erster Linie der Scan von Codes aus vertrauenswürdigen Quellen wie offiziellen Unternehmensseiten. Viele Scanner zeigen vor dem Öffnen eine Vorschau der Zieladresse – ungewöhnliche URLs sollten nicht aufgerufen werden.

Vor jeder Dateneingabe lohnt sich die Prüfung der Browser-Adresse: Nur korrekte Domains mit HTTPS-Verschlüsselung sind vertrauenswürdig.

Gedde empfiehlt zudem aktuelle Sicherheitssoftware auf dem Smartphone und rät, wichtige Webseiten lieber manuell einzutippen statt QR-Codes zu scannen.

Was tun im Verdachtsfall?

Bei einem unguten Gefühl gilt: sofort abbrechen und keine weiteren Daten eingeben. Wer bereits Informationen preisgegeben hat, sollte umgehend Passwörter ändern und die Bank oder den betroffenen Dienst kontaktieren.

Eine Meldung bei der Polizei oder Verbraucherzentrale kann weiteren Schaden verhindern.

Abschließend empfiehlt sich eine gründliche Überprüfung des Smartphones auf Schadsoftware oder verdächtige Apps.

Sierks Media / © Foto: Proxyclick Visitor Management System, Unsplash