Quishing: So funktioniert die Betrugsmasche mit dem QR-Code
Quishing erklärt: Wie Betrüger QR-Codes nutzen, um Daten und Geld zu stehlen – und woran Sie gefälschte Codes erkennen.
Gefälschte DHL-Abholscheine mit QR-Code: Wie Quishing funktioniert und woran Sie den Betrug erkennen.
Foto: picture alliance / ZB | Sascha Steinach
| Das Wichtigste im Überblick |
|
QR-Codes gehören zum Alltag. Sie öffnen Speisekarten, verbinden Smartphones mit WLAN oder starten Bezahlvorgänge. Genau diese Routine nutzen Kriminelle aus. Statt auf E-Mail oder SMS setzen sie zunehmend auf gedruckte QR-Codes im öffentlichen Raum oder im Briefkasten. Die Masche heißt Quishing. Sie kombiniert QR-Code und Phishing. Ziel bleibt gleich: Daten abgreifen oder Geld stehlen.
Quishing wirkt unscheinbar. Ein Code besteht aus schwarzen Quadraten. Man sieht ihm nicht an, wohin er führt. Viele Smartphones öffnen den enthaltenen Link sofort. Eine sichtbare Kontrolle entfällt. Das macht QR-Codes attraktiv für Betrügerinnen und Betrüger.
Inhaltsverzeichnis
- Warum QR-Codes für Angriffe taugen
- Was Quishing von klassischem Phishing unterscheidet
- Erste Fälle: QR-Codes in betrügerischen E-Mails
- Wenn der Briefkasten zur Falle wird
- Wenn die DHL-Paketkarte gefälscht ist
- QR-Codes an Ladesäulen und Parkautomaten
- Falsche Strafzettel und Plakate im Nahverkehr
- Warum Quishing gerade jetzt zunimmt
- Woran Sie echte Angebote erkennen können
- Wie Sie sich konkret schützen
- Was tun, wenn Sie hereingefallen sind
Warum QR-Codes für Angriffe taugen
Ein QR-Code ist technisch nichts anderes als eine codierte Zeichenfolge. Meist steckt eine Internetadresse dahinter. Anders als bei einem gedruckten Link können Sie diese Adresse vor dem Scannen nicht lesen. Genau das ist der Schwachpunkt.
Hinzu kommt Gewöhnung. Seit der Pandemie sind QR-Codes überall. Wer täglich scannt, hinterfragt seltener. Kriminelle setzen auf diesen Automatismus. Sie verlagern den Einstiegspunkt aus der digitalen Welt in den analogen Raum. Ein Zettel im Briefkasten oder ein Aufkleber an einer Ladesäule wirkt vertrauenswürdiger als eine unbekannte E-Mail.
Was Quishing von klassischem Phishing unterscheidet
Beim klassischen Phishing kommt der Angriff per Mail, SMS oder Messenger. Quishing nutzt physische Träger. Der Angriff beginnt auf Papier, an Automaten oder auf Plakaten. Technisch endet er aber wie gewohnt auf einer gefälschten Webseite.
Die Übergänge sind fließend. Auch in E-Mails tauchen QR-Codes auf. Der entscheidende Unterschied liegt im Einstieg. Quishing umgeht Spamfilter und Warnhinweise, weil kein anklickbarer Link enthalten ist.
Erste Fälle: QR-Codes in betrügerischen E-Mails
Schon 2021 tauchten erste Phishing-Mails mit QR-Code auf. Kriminelle missbrauchten Logos bekannter Banken und forderten angebliche Sicherheitsupdates. Der Code führte auf eine nachgebaute Login-Seite. Im Vergleich zu klassischen Phishing-Mails blieb diese Variante lange selten. Sie verschwindet aber nicht. Aktuell kursieren etwa E-Mails mit angeblichen Umfragen, die über einen QR-Code erreichbar sein sollen.
Wenn der Briefkasten zur Falle wird
Besonders effektiv sind gefälschte Briefe. Sie umgehen digitale Schutzmechanismen komplett. Ein bekanntes Beispiel sind Schreiben angeblicher Banken. In mehreren Fällen erhielten Verbraucherinnen und Verbraucher Briefe, die eine Aktualisierung von Sicherheitsverfahren verlangten. Auffällig war ein prominent platzierter QR-Code.
Ein Detail entlarvt die Masche oft erst auf den zweiten Blick. Die Internetadresse sieht korrekt aus, enthält aber minimale Abweichungen. Ein Bindestrich statt eines Schrägstrichs reicht. Wer hier Daten eingibt, übermittelt sie direkt an die Täter. Teilweise werden so sofort Überweisungen ausgelöst.
Wenn die DHL-Paketkarte gefälscht ist
Auch Paketdienste sind betroffen. Besonders in Zeiten hohen Paketaufkommens verteilen Betrüger gefälschte Abholscheine. Der Zettel suggeriert einen verpassten Zustellversuch. Der QR-Code verspricht Abhilfe. Tatsächlich führt er auf eine täuschend echte Kopie der Originalseite.
Ein Sprecher von DHL ordnet das Problem klar ein. DHL-Sprecher Jens-Uwe Hogardt sagt: „Die Methode des ‚Quishings‘, also Phishing über QR-Codes, sei zwar nicht neu, werde jedoch immer professioneller eingesetzt.“
DHL betont, dass das Unternehmen niemals per QR-Code zur Eingabe sensibler Daten oder zu Zahlungen auffordert.
QR-Codes an Ladesäulen und Parkautomaten
Quishing trifft auch den Verkehrsraum. An Ladesäulen für Elektroautos kleben Kriminelle gefälschte Codes über die Originale. Wer laden will, scannt routiniert. Statt zur Bezahlseite des Betreibers geht es auf eine Fälschung. Dort werden Kontodaten abgefragt.
Der ADAC rät, keine überklebten Codes zu scannen. Verfügt die Säule über ein Display, sollte der Code ausschließlich dort erfasst werden. Alternativ lassen sich Ladesäulen per App oder Ladekarte nutzen. Ein QR-Code ist dafür nicht nötig.
Ähnlich gehen Täter an Parkscheinautomaten vor. Überklebte Codes versprechen mobiles Bezahlen. Die Fake-Seiten wirken auf den ersten Blick echt. Erst kleine Fehler fallen auf. Umlaute fehlen. Parkzeiten lassen sich auswählen, die vor Ort gar nicht erlaubt sind. In einzelnen Fällen verloren Betroffene mehrere tausend Euro.
Falsche Strafzettel und Plakate im Nahverkehr
Manche Städte erlauben das Bezahlen von Knöllchen per QR-Code. Das nutzen Betrüger aus. Sie verteilen gefälschte Strafzettel an parkenden Autos. Der Code führt nicht zur Stadt, sondern zu einer betrügerischen Zahlungsseite. Im Zweifel gilt: Sachverhalt bei Polizei oder Ordnungsamt prüfen.
Auch der öffentliche Nahverkehr ist betroffen. In Bussen und Bahnen tauchten gefälschte Plakate auf, die mit Logos der Verkehrsbetriebe warben. Versprochen wurden etwa Gewinnspiele oder Deutschlandtickets. Der QR-Code führte auf Seiten, die Name, Adresse und Kontaktdaten abfragten. Diese Daten lassen sich weiterverkaufen oder für Identitätsdiebstahl nutzen.
Warum Quishing gerade jetzt zunimmt
Mehrere Faktoren kommen zusammen. QR-Codes sind etabliert. Sie gelten als bequem. Gleichzeitig steigen Paketmengen, Ladeinfrastruktur und digitale Bezahlangebote. Das erhöht die Zahl potenzieller Angriffsflächen.
Hinzu kommt psychologischer Druck. Ein angeblich blockiertes Konto, ein wartendes Paket oder ein drohendes Knöllchen erzeugen Stress. Wer schnell handeln will, prüft weniger genau.
Die technische Hürde ist niedrig. Jeder kann in Sekunden einen QR-Code erzeugen. Das bestätigt auch die Polizei. Bastian Kipping vom Landeskriminalamt Rheinland-Pfalz sagt: „Die Betrugsmasche ist aus Tätersicht sehr einfach umzusetzen, weil jeder diesen QR-Code generieren kann.“
Woran Sie echte Angebote erkennen können
Seriöse Anbieter fordern sensible Daten nicht per QR-Code an. Banken erwarten keine Login-Daten über gedruckte Schreiben. Paketdienste verlangen keine Zahlungen über QR-Codes auf Zetteln im Briefkasten. Offizielle Kommunikation nutzt klar definierte Domains und bekannte Kanäle.
Ein häufiger Trick sind minimal veränderte Internetadressen. Ein zusätzliches Zeichen reicht. Entscheidend ist der Teil hinter der letzten Trennung. „beispiel.de/xyz“ gehört zu beispiel.de. „beispiel.de-xyz.com“ nicht.
Wie Sie sich konkret schützen
Scannen Sie QR-Codes nur, wenn Sie die Quelle sicher einordnen können. Nutzen Sie Scanner oder Kamera-Apps, die die Zieladresse vor dem Öffnen anzeigen. Prüfen Sie diese Adresse Zeichen für Zeichen.
Seien Sie besonders wachsam, wenn Zahlungs- oder Zugangsdaten verlangt werden. Im Zweifel gilt: nicht scannen, nicht klicken, nicht eingeben. Prüfen Sie Informationen über offizielle Webseiten oder bekannte Apps.
Bei Briefen hilft ein Abgleich über bekannte Kontaktwege. Rufen Sie Unternehmen über offiziell recherchierte Nummern an. Nutzen Sie keine Kontaktdaten aus dem Schreiben selbst.
Was tun, wenn Sie hereingefallen sind
Handeln Sie sofort. Ändern Sie betroffene Passwörter. Informieren Sie Ihre Bank, falls Zahlungsdaten betroffen sind. In Deutschland steht der Sperr-Notruf 116116 zur Verfügung. Erstatten Sie Anzeige bei der Polizei, etwa über die Online-Wache Ihres Bundeslandes. Nur so lassen sich Muster erkennen und weitere Taten verhindern.
Ein Beitrag von:
