So funktioniert die Masche
Quishing ist Phishing mit einem QR-Code statt eines anklickbaren Links. Sie scannen einen Code - aufgedruckt auf einem Brief, aufgeklebt an einem Parkautomaten oder einer Ladesäule oder in einer E-Mail eingebettet - und Ihr Handy öffnet eine Website, die wie eine echte Anmelde- oder Zahlungsseite aussieht.
Die Seite ist gefälscht. Alles, was Sie eingeben, etwa Bank-Logins oder Kartendaten, geht direkt an den Betrüger, während die Seite Sie danach zur echten Seite weiterleiten kann, sodass nichts verdächtig wirkt.
Warum sie funktioniert und wer betroffen ist
Ein QR-Code verbirgt sein Ziel, sodass Sie die Web-Adresse vor dem Scannen nicht sehen können, wie es bei einem Link möglich wäre, über den man fährt. Zudem vertrauen viele Codes auf offiziell wirkenden Briefen oder an öffentlichen Orten wie Parkplätzen.
Da der Code auf Ihrem Handy öffnet, sind die üblichen Warnzeichen auf dem kleinen Bildschirm schwerer zu erkennen, und Sicherheitsfilter, die schädliche Links in E-Mails abfangen, prüfen ein Bild eines QR-Codes oft nicht. Betroffen sein kann jeder, der Parkgebühren zahlt, amtliche Post erwartet oder online Bankgeschäfte erledigt.
Warnzeichen im Detail
Seien Sie vorsichtig bei einem QR-Code, der zu einer Anmelde- oder Zahlungsseite führt, besonders wenn die nach dem Scannen angezeigte Adresse eine täuschend ähnliche Domain oder ein unleserlicher Kurzlink ist. Achten Sie bei Gegenständen auf einen Aufkleber, der über einem Originalcode klebt - ein verbreiteter Manipulationstrick.
Unerwartete Codes in E-Mails oder Briefen, die Sie drängen, ein Konto zu verifizieren oder dringend eine Gebühr zu zahlen, verdienen dasselbe Misstrauen wie jede Phishing-Nachricht.
So schützen Sie sich
Prüfen Sie nach dem Scannen die vollständige Web-Adresse, bevor Sie etwas eingeben, und melden Sie sich nie an oder zahlen Sie nie über eine Seite, die nur über einen unerwarteten QR-Code erreichbar ist. Für Aufgaben wie das Bezahlen von Parkgebühren oder Bankgeschäfte öffnen Sie stattdessen die offizielle App oder geben die Adresse selbst ein.
Untersuchen Sie physische Codes auf aufgeklebte Sticker und behandeln Sie QR-Codes in E-Mails wie jeden Link - mit Vorsicht. Haben Sie Daten auf einer gefälschten Seite eingegeben, kontaktieren Sie Ihre Bank, um die Karte zu sperren, und ändern Sie alle preisgegebenen Passwörter.