QR-Codes sind aus dem Alltag nicht mehr wegzudenken – ob beim Bezahlen, für Informationen oder um sich in WLAN-Netzwerke einzuloggen. Doch genau diese Bequemlichkeit nutzen Cyberkriminelle zunehmend für eine neue Betrugsmasche namens „Quishing“, wie die R+V Versicherung warnt. Die Methode kombiniert QR-Codes mit klassischem Phishing und hat es auf Bankdaten, Passwörter und andere vertrauliche Informationen abgesehen.
Wie funktioniert Quishing?
Bei einem Quishing-Angriff platzieren Betrüger manipulierte QR-Codes auf digitalen oder gedruckten Materialien. Wer den Code scannt, wird auf eine täuschend echte Fake-Webseite weitergeleitet, auf der er sensible Daten eingeben soll. Alternativ kann durch den Scan unbemerkt Schadsoftware auf das Smartphone gelangen. Gefälschte Seiten sind oft kaum von den Originalen zu unterscheiden, sodass viele Opfer keinen Verdacht schöpfen.
Die manipulierten Codes tauchen in vielen Situationen auf: in gefälschten E-Mails oder Briefen, auf Plakaten, Flyern oder sogar auf Parkautomaten und Ladesäulen. Besonders tückisch ist, dass Kriminelle oft echte QR-Codes mit gefälschten Aufklebern überdecken.
So schützt man sich vor QR-Code-Betrug
Ein paar einfache Vorsichtsmaßnahmen können helfen, nicht in die Falle zu tappen:
- QR-Codes auf physischen Objekten genau prüfen – ist der Code aufgeklebt oder über einen anderen gedruckt? Dann sollte man ihn nicht scannen.
- Behörden, Banken und seriöse Unternehmen fordern niemals über E-Mail oder SMS zur Eingabe sensibler Daten über einen QR-Code auf.
- Bei Unsicherheiten immer zuerst den Absender kontaktieren, bevor ein Code gescannt wird.
- Scanner-Apps nutzen, die die URL vor dem Öffnen anzeigen und vor verdächtigen Links warnen.
- Auf dem Smartphone kann man einstellen, dass Links erst nach manueller Bestätigung geöffnet werden.
Zusätzlich empfiehlt die R+V-Versicherung, im Ausland und auf Reisen besonders vorsichtig mit QR-Codes umzugehen. Ein einfacher Trick: Wenn man auf dem Smartphone lange auf einen Link drückt, wird die echte Zieladresse angezeigt – so lässt sich schnell prüfen, ob die URL vertrauenswürdig ist.
