Zum Inhalt springen
Alle RatgeberRatgeber

Quishing (QR-Code-Phishing)

Betrüger ersetzen oder platzieren QR-Codes - an Parkautomaten, in Briefen, Mails, auf Restauranttischen -, die zu einer gefälschten Zahlungs- oder Login-Seite führen. Weil das Ziel im Code versteckt ist, sieht man erst zu spät, wohin es wirklich geht.

Geprüft von Florian Wartner · Zuletzt aktualisiert

So funktioniert die Masche

Quishing ist Phishing mit einem QR-Code statt eines anklickbaren Links. Sie scannen einen Code - aufgedruckt auf einem Brief, aufgeklebt an einem Parkautomaten oder einer Ladesäule oder in einer E-Mail eingebettet - und Ihr Handy öffnet eine Website, die wie eine echte Anmelde- oder Zahlungsseite aussieht.

Die Seite ist gefälscht. Alles, was Sie eingeben, etwa Bank-Logins oder Kartendaten, geht direkt an den Betrüger, während die Seite Sie danach zur echten Seite weiterleiten kann, sodass nichts verdächtig wirkt.

Warum sie funktioniert und wer betroffen ist

Ein QR-Code verbirgt sein Ziel, sodass Sie die Web-Adresse vor dem Scannen nicht sehen können, wie es bei einem Link möglich wäre, über den man fährt. Zudem vertrauen viele Codes auf offiziell wirkenden Briefen oder an öffentlichen Orten wie Parkplätzen.

Da der Code auf Ihrem Handy öffnet, sind die üblichen Warnzeichen auf dem kleinen Bildschirm schwerer zu erkennen, und Sicherheitsfilter, die schädliche Links in E-Mails abfangen, prüfen ein Bild eines QR-Codes oft nicht. Betroffen sein kann jeder, der Parkgebühren zahlt, amtliche Post erwartet oder online Bankgeschäfte erledigt.

Warnzeichen im Detail

Seien Sie vorsichtig bei einem QR-Code, der zu einer Anmelde- oder Zahlungsseite führt, besonders wenn die nach dem Scannen angezeigte Adresse eine täuschend ähnliche Domain oder ein unleserlicher Kurzlink ist. Achten Sie bei Gegenständen auf einen Aufkleber, der über einem Originalcode klebt - ein verbreiteter Manipulationstrick.

Unerwartete Codes in E-Mails oder Briefen, die Sie drängen, ein Konto zu verifizieren oder dringend eine Gebühr zu zahlen, verdienen dasselbe Misstrauen wie jede Phishing-Nachricht.

So schützen Sie sich

Prüfen Sie nach dem Scannen die vollständige Web-Adresse, bevor Sie etwas eingeben, und melden Sie sich nie an oder zahlen Sie nie über eine Seite, die nur über einen unerwarteten QR-Code erreichbar ist. Für Aufgaben wie das Bezahlen von Parkgebühren oder Bankgeschäfte öffnen Sie stattdessen die offizielle App oder geben die Adresse selbst ein.

Untersuchen Sie physische Codes auf aufgeklebte Sticker und behandeln Sie QR-Codes in E-Mails wie jeden Link - mit Vorsicht. Haben Sie Daten auf einer gefälschten Seite eingegeben, kontaktieren Sie Ihre Bank, um die Karte zu sperren, und ändern Sie alle preisgegebenen Passwörter.

Warnsignale

  • Ein QR-Code in einer unerwarteten Mail oder einem Brief mit Login-/Zahlungsaufforderung.
  • Ein aufgeklebter QR-Code über dem Original an einem Automaten oder Plakat.
  • Der gescannte Link führt auf eine markenfremde Domain.

Beispiel

Ihr Paket liegt fest. Scannen Sie den QR-Code, um Ihre Adresse zu bestätigen und die Zustellgebühr von 1,99 EUR zu zahlen.

Erfundenes Beispiel - keine echte Nachricht.

So schützt du dich

  1. 01Die URL vor dem Öffnen anzeigen lassen und prüfen, ob sie zur echten Marke passt.
  2. 02Für Zahlungen die offizielle App nutzen statt einen zugeschickten Code zu scannen.
  3. 03Misstrauisch sein bei QR-Aufklebern an öffentlichen Orten.

Schon darauf reingefallen?

  1. 01Bei eingegebenen Karten- oder Login-Daten die Karte sperren und das Passwort ändern.
  2. 02Den Ort eines manipulierten QR-Codes dem Betreiber melden.