Quishing? So funktionieren Betrügereien mit falschen QR Codes

QR-Codes sind heute üblich und werden sogar zum Verifizieren beim Online-Banking genutzt. Entsprechend werden QR-Codes von vielen Menschen als sicher, seriös und ungefährlich eingestuft und locker flockig mal eben gescannt. Allerdings haben sich Betrüger inzwischen diverse Maschen ausgedacht, QR-Codes für ihre Zwecke zu missbrauchen.

Was ist ein QR-Code eigentlich genau?

Ein QR-Code ist ein zweidimensionaler, aus kleinen Quadraten zu einem Quadrat zusammengesetzter, elektronisch lesbarer Code. Der QR-Code wurde bereits 1994 (!) entwickelt. 2007 kam er erstmals nach Europa, wobei zunächst nur Webadressen damit verschlüsselt wurden. Im Jahr 2017 fügte Apple eine QR-Lesefunktion in vorinstallierte Kamera-App von iPhones und iPads ein und der QR-Code verbreitete sich zusehends. Inzwischen können QR-Codes von nahezu jedem Smartphones gelesen werden. Meistens werden immer noch Internet-Adressen mit dem QR-Code geöffnet.

Das Problem: Manche Smartphones zeigen erst die Internetadresse und fragen, ob sie geöffnet werden soll. Andere Smartphones wiederum öffnen die Seite sofort. Das machen sich Betrüger zunutze und verwenden QR-Codes für ihre Betrügereien. Das ist inzwischen so verbreitet, dass es bereits einen Namen hat: „Quishing“ – eine zusammengesetzt aus „QR-Code“ und „Phishing“. Dabei sind die Betrüger sehr erfinderisch.

Quishing-Beispiel 1: Gefälschte Briefe von Banken

In einem Brief, der angeblich von einer Bank stammt, wird der Empfänger aufgefordert, das photoTAN-Verfahren zu aktualisieren. In dem Brief befindet sich ein QR-Code, der allerdings nicht zur Bank gehört, sondern auf eine Betrüger-Website weiterleitet. Werden hier dann die Zugangsdaten zum Online-Banking eingegeben, fallen sie den Betrügern in die Hände. Manchmal wird sogar direkt eine falsche Überweisung ausgelöst. Zu erkennen sind die falschen Briefe oft nur daran, dass der Empfänger nicht mit seinem Namen angesprochen wird, sondern mit „Sehr geehrte Kontoinhaberin, sehr geehrter Kontoinhaber“.

Quishing-Beispiel 2: Falsche QR-Codes an E-Auto-Ladesäulen

Inzwischen mehren sich auch die Fälle mit falschen QR-Codes auf E-Ladesäulen. Die QR-Codes an den Ladesäulen dienen normalerweise dazu, dass das Laden des Elektroautos direkt bezahlt werden kann. Die Originalen QR-Codes werden von Betrügern aber mit falschen QR-Codes überklebt, um die E-Auto-Fahrer nicht auf die echte Bezahlseite, sondern auf eine Betrugsseite weitergeleitet werden. So kommen sie schnell an das Geld ihrer Opfer.

Quishing? So funktionieren Betrügereien mit falschen QR Codes

Quishing-Beispiel 3: Falsche Strafzettel für Falschparker

In manchen Städten sind schon länger QR-Codes auf Strafzetteln üblich. So kann die Geldstrafe nach dem Falschparken direkt beglichen werden. Allerdings sind inzwischen falsche Strafzettel im Umlauf. Die Betrüger stecken sie einfach unter die Scheibenwischer parkender Fahrzeuge und hoffen darauf, dass der Autobesitzer den Code zum Bezahlen nutzt.

So schützt Du Dich vor Quishing

  • Scanne einen QR-Code nur, wenn die Quelle seriös ist. Sieh Dir die vorab angezeigte Webadresse genau an, bevor Du die Seite öffnest.
  • Wenn Dein Smartphone QR-Codes direkt öffnet, installiere eine App, die Dir zuerst den Link anzeigt.
  • Wenn Du einen zweifelhaften Brief mit QR-Code bekommen hast, frage am besten beim Absender nach, ob es sich um ein echtes Schreiben handelt.
  • Scheint der QR-Code an einer Ladesäule überklebt zu sein, solltest Du ihn nicht scannen. Hat die Ladesäule ein Display, solltest Du den QR-Code von dort nutzen.
  • Strafzettel mit QR-Code solltest Du genau prüfen. Im Zweifelsfall solltest Du lieber zur Polizei, um Dir seine Echtheit bestätigen zu lassen.
  • Hast Du bereits Geld bezahlt, informieren sofort Deine Bank und erstatte Strafanzeige bei der Polizei.

Hast Du schon mal von Quishing gehört? oder hast Du vielleicht selbst Erfahrungen damit gemacht?