QR-Codes sind aus unserem Alltag nicht mehr wegzudenken. Ob beim Bezahlen, für das Einloggen auf Webseiten oder beim Abrufen von Informationen – die kleinen, quadratischen Codes bieten schnelle und unkomplizierte Zugänge. Doch genau diese Einfachheit machen sich auch Cyberkriminelle zunutze. Eine besonders perfide Betrugsmasche ist das sogenannte Quishing – ein Kunstwort aus "QR" und "Phishing". In diesem Artikel erfährst du, wie Quishing funktioniert, woran du betrügerische QR-Codes erkennst und wie du dich davor schützen kannst.

Was ist Quishing?
Beim Quishing platzieren Kriminelle gefälschte QR-Codes auf Websites, in E-Mails, auf Flyern oder sogar physisch in der realen Welt, zum Beispiel auf Parkautomaten oder Werbeplakaten. Wer den Code scannt, wird auf eine gefälschte Webseite geleitet, die täuschend echt aussieht. Dort wird das Opfer dann aufgefordert, persönliche Daten einzugeben oder sogar eine schädliche Datei herunterzuladen. Oft ähneln diese betrügerischen Seiten denen von Banken, Paketdiensten oder Online-Diensten wie PayPal oder Amazon (uspis.gov).
Wie funktioniert ein Quishing-Angriff?
Platzierung des QR-Codes: Betrüger erstellen gefälschte QR-Codes und verteilen sie gezielt. In E-Mails sind sie oft mit gefälschten Nachrichten verknüpft, die zur dringenden Handlung auffordern (z. B. "Ihr Konto wurde gesperrt! Scannen Sie den QR-Code zur Verifizierung") (techtarget.com).
Weiterleitung auf eine Fake-Seite: Nach dem Scan landet das Opfer auf einer täuschend echten Website, die Daten wie Logins oder Kreditkarteninformationen abfragt (cloudflare.com).
Datenklau oder Malware-Installation: Gibt das Opfer seine Daten ein, werden sie direkt an die Angreifer weitergeleitet. In anderen Fällen installiert sich automatisch Schadsoftware auf dem Smartphone oder Computer (checkpoint.com).
Woran erkennt man betrügerische QR-Codes?
Unerwartete oder verdächtige QR-Codes: Erhältst du einen QR-Code per E-Mail oder auf einem Flyer, solltest du skeptisch sein – vor allem, wenn du ihn nicht angefordert hast (verbraucherzentrale-niedersachsen.de)
Fehlende Informationen zur Herkunft: Seriöse Unternehmen bieten oft zusätzliche Informationen zum QR-Code an. Fehlen diese, könnte es sich um einen Betrug handeln (anwalt.de).
Manipulierte physische QR-Codes: In der realen Welt überkleben Betrüger oft echte QR-Codes mit gefälschten Aufklebern. Vor dem Scannen sollte man daher den Code genau prüfen (mdr.de).
Ungewöhnliche URL nach dem Scan: Die URL sollte genau überprüft werden. Ist sie verschleiert, verkürzt oder sieht ungewöhnlich aus, sollte man die Seite besser nicht aufrufen (computerweekly.com).
Wie kann man sich vor Quishing schützen?
QR-Scanner mit Vorschau nutzen: Viele Smartphone-Kameras und QR-Scanner-Apps zeigen die URL vor dem Aufruf an. Ist die Adresse verdächtig, sollte man sie nicht öffnen (softed.de).
Manuelle Eingabe bevorzugen: Anstatt einen QR-Code zu scannen, kann man eine URL besser direkt in den Browser eintippen (computerweekly.com).
Zwei-Faktor-Authentifizierung (2FA) aktivieren: Selbst, wenn Zugangsdaten gestohlen werden, bietet 2FA eine zusätzliche Schutzschicht (yubico.com).
Vorsicht bei QR-Codes auf Plakaten und Automaten: Falls ein QR-Code verdächtig aussieht, lieber eine offizielle Website besuchen oder direkt in einer App navigieren (mdr.de).
Antivirus-Software nutzen: Einige Sicherheitslösungen erkennen und blockieren betrügerische QR-Codes automatisch (anwalt.de).

Fazit
Quishing ist eine ernsthafte Bedrohung, die durch die zunehmende Nutzung von QR-Codes weiter zunimmt. Kriminelle setzen immer raffiniertere Methoden ein, um Nutzer zu täuschen und persönliche Daten zu stehlen. Wer wachsam bleibt, QR-Codes vor dem Scannen genau prüft und auf Sicherheitsmaßnahmen achtet, kann sich jedoch wirksam vor dieser Betrugsmasche schützen. Im Zweifel gilt: Lieber einen Link manuell eingeben als einem potenziell gefährlichen QR-Code zu vertrauen.
Comments