Quishing: Betrug über QR‑Codes im Alltag

QR‑Codes gehören längst zum Alltag. Sie öffnen Menüs, starten Bezahlvorgänge oder verbinden Geräte mit WLAN. Genau diese Selbstverständlichkeit macht sie zu einem idealen Werkzeug für Angriffe. Die Masche, die sich dahinter verbirgt, nennt sich Quishing – eine Kombination aus QR‑Code und Phishing.

Unsichtbare Ziele: Warum QR‑Codes missbraucht werden

Der Inhalt eines QR‑Codes bleibt verborgen, bis er gescannt wird. Meist steckt eine Webadresse dahinter. Anders als bei gedruckten Links ist sie nicht lesbar. Diese Intransparenz bildet den Kern des Problems. Hinzu kommt Gewohnheit. Seit der Pandemie sind QR‑Codes überall präsent. Wer täglich scannt, prüft seltener. Täter setzen genau auf diesen Automatismus.

Wo Quishing beginnt: Angriffe im öffentlichen Raum

Viele Angriffe starten nicht digital, sondern an Orten, die vertraut wirken. Gefälschte Codes tauchen an Parkautomaten, Ladesäulen, Plakaten oder sogar im Briefkasten auf. Ein Zettel mit Logo, ein Aufkleber am Gerät – mehr braucht es nicht. Der Einstieg wirkt harmlos, doch der Scan führt auf täuschend echte Webseiten, die Zugangsdaten, Bankverbindungen oder Kreditkarteninformationen abfragen.

Gefälschte Strafzettel, Plakate und Automaten

Im Verkehrsraum zeigt sich die Masche besonders deutlich. An Ladesäulen werden echte QR‑Codes überklebt. Statt zur Betreiberseite führt der Scan auf eine Fälschung, die Kontodaten verlangt. Der ADAC rät, ausschließlich Codes auf Displays zu nutzen oder auf App und Ladekarte auszuweichen.

Auch Parkscheinautomaten sind betroffen. Überklebte Codes versprechen mobiles Bezahlen. Die Seiten wirken seriös, enthalten aber kleine Fehler wie fehlende Umlaute oder unzulässige Parkzeiten. In einzelnen Fällen entstanden hohe finanzielle Schäden.

Sogar Strafzettel werden gefälscht. Manche Städte erlauben QR‑Codes für die Bezahlung von Knöllchen. Täter nutzen das aus und verteilen eigene Zettel. Der Code führt nicht zur Stadtverwaltung, sondern zu einer betrügerischen Zahlungsseite.

Im Nahverkehr tauchten zudem manipulierte Plakate auf. Sie warben mit Tickets oder Gewinnspielen und nutzten Logos der Verkehrsbetriebe. Die verlinkten Seiten sammelten persönliche Daten, die sich für Identitätsdiebstahl eignen.

Wenn der Angriff im Briefkasten landet

Besonders wirkungsvoll sind gefälschte Briefe. Sie umgehen digitale Schutzmechanismen vollständig. In mehreren Fällen erhielten Verbraucher Schreiben angeblicher Banken. Sie forderten eine Aktualisierung von Sicherheitsverfahren und enthielten einen QR‑Code. Die Zieladresse wirkte korrekt, wich aber minimal ab. Ein zusätzliches Zeichen genügte. Wer dort Daten eingab, leitete sie direkt an die Täter weiter. Teilweise wurden sofort Überweisungen ausgelöst.

Quishing in E‑Mails: Eine frühe Variante

Obwohl Quishing häufig offline beginnt, tauchten bereits 2021 erste Mails mit QR‑Codes auf. Sie nutzten Logos bekannter Banken und verwiesen auf angebliche Sicherheitsupdates. Der Code führte auf nachgebaute Login‑Seiten. Auch heute gibt es Varianten, die vermeintliche Umfragen bewerben.

Warum die Masche gerade jetzt zunimmt

Mehrere Entwicklungen verstärken die Gefahr:

• QR‑Codes sind etabliert und gelten als bequem
• Paketmengen, Ladeinfrastruktur und digitale Bezahlangebote wachsen
• Stresssituationen wie angebliche Kontosperrungen oder Knöllchen erzeugen Druck
• QR‑Codes lassen sich in Sekunden erzeugen

Die Polizei bestätigt, dass die technische Hürde gering ist.

Was Quishing vom klassischen Phishing unterscheidet

Phishing läuft traditionell über digitale Nachrichten. Quishing dagegen nutzt physische Träger. Der Angriff startet auf Papier, an Automaten oder auf Plakaten. Erst nach dem Scan landet man auf einer gefälschten Webseite. Der Vorteil für Täter: Es gibt keinen anklickbaren Link, der von Filtern erkannt werden könnte.

Schutz vor Quishing: Vorsicht vor dem Scan

Sicherheit beginnt, bevor ein Code geöffnet wird. Kamera‑Apps oder Scanner, die die Zieladresse anzeigen, helfen bei der Prüfung. Also: erst die Kamera auf den Scanner halten, dann GANZ GENAU überprüfen, welche Internetseite in der Vorschau angezeigt wird. Lautet die korrekte Internetadresse wirklich meinebank.de oder vielleicht eher meine-bank.de ?

Besonders wichtig ist Aufmerksamkeit, wenn Zahlungs‑ oder Zugangsdaten abgefragt werden. Bei Briefen sollte der Kontakt über unabhängig recherchierte Nummern erfolgen.

Seriöse Anbieter fordern keine sensiblen Daten über QR‑Codes an. Banken verlangen keine Login‑Daten über gedruckte Schreiben. Paketdienste fordern keine Zahlungen über Zettel im Briefkasten. Offizielle Kommunikation nutzt bekannte Domains. Häufige Tricks sind minimal veränderte Adressen. Entscheidend ist der Teil hinter der letzten Trennung.

Im Zweifelsfall logge dich bei deinem bekannten Anbieter ein – ohne Daten aus dem Brief zu verwenden – und schaue nach, ob sich diese Nachricht auch in deinem Kundenkonto befindet. Stammt der Brief von so etwas wie „Staatsanwalt“ oder „Behörde XY“, scheue dich nicht, eine Suchmaschine deiner Wahl zu öffnen, und nach der offiziellen Website der Behörde deiner Stadt zu suchen, und dort anzurufen.

Ist der Brief von einem dir völlig unbekannten Anbieter, hilft häufig auch das Googlen nicht, weil du dann evtl. auf einer gefälschten Website landest. Höchstens mit „Erfahrung +Betrug +Anbietername“ kommst du weiter.

Wenn es bereits passiert ist

Schnelles Handeln ist entscheidend. Passwörter sollten geändert und die Bank informiert werden, wenn Zahlungsdaten betroffen sind. In Deutschland steht der Sperr‑Notruf 116116 zur Verfügung. Eine Anzeige bei der Polizei hilft, Muster zu erkennen und weitere Fälle zu verhindern.