QR-Codes können heute viel bunter und einfallsreicher sein als früher. © Freepik
Vor allem an öffentlichen Orten hängen immer wieder manipulierte QR-Codes. Wer sie scannt, landet oft auf Fake-Seiten. Gibt man seine Daten dort ein, geht man den Betrügern auf den Leim. © Merkur/Jörg Heinrich/Flux.1
Es klingt nach einem TV-Thriller, ist aber Realität: Man scannt mit dem Smartphone den QR-Code auf dem Tisch im Restaurant oder in einer Werbeanzeige. Doch statt die gewünschten Infos zu bekommen, landet man auf der Website von Betrügern, die Passwörter ausspähen oder das Bankkonto knacken wollen. Dahinter stecken sogenannte „Quishing“-Angriffe, mit denen Cyberkriminelle versuchen, ahnungslose Nutzer zu täuschen. Wir beantworten die wichtigsten Fragen zur neuesten Gefahr aus dem Netz.
Was ist Quishing, warum ist es so gefährlich?
Das Wort ist eine Kombination aus „QR-Code“ und dem Datenklau „Phishing“ in E-Mails oder auf Websites. Kriminelle platzieren manipulierte QR-Codes vor allem an öffentlichen Orten. Wer den Code scannt, landet auf einer gefälschten Webseite, die täuschend echt aussieht – wie die Log-in-Seite eines Shops, einer Veranstaltung oder einer Behörde. Mit dieser heimtückischen Praxis werden sensible Daten wie Passwörter, Kreditkarteninformationen oder persönliche Angaben abgefragt. Womöglich landet sogar Schadsoftware auf dem Smartphone. Dabei kommen auch neuartige, bunte und cool designte QR-Codes zum Einsatz, die geradezu einladen, sie anzuklicken.
Wo begegnet man Quishing im Alltag?
Der Betrugsversuch findet überall dort statt, wo QR-Codes als visuelle Übersetzung einer Internetadresse eingesetzt werden. Und das passiert immer häufiger: In Restaurants für digitale Speisekarten, an Bushaltestellen, auf Werbeplakaten oder Konzerttickets. Gefahr gibt es auch durch Aufkleber an Laternen oder in Toiletten. Besonders perfide: Betrüger kleben exakt nachgeahmte QR-Codes über die echten, etwa auf Parkautomaten oder an Info-Tafeln.
Wie sieht es mit der QR-Gefahr im eigenen Briefkasten aus?
Selbst vermeintliche Schreiben von Behörden oder Banken, die zu Hause im Briefkasten landen, können Quishing-Fallen sein. Wenn sie QR-Codes enthalten, über die man bezahlen oder Passwörter eingeben soll, ist Vorsicht angesagt. Klassische Beispiele sind die Zahlungsaufforderung nach einem Verkehrsdelikt oder eine angebliche Erneuerung der PINs und TANs fürs Online-Banking. Hier sollten Betroffene genau prüfen, ob die persönlichen Angaben im Schreiben stimmen und ob alles plausibel ist. Im Zweifel den QR-Code nicht scannen und besser bei der betroffenen Behörde oder Bank nachfragen, ob das Schreiben echt ist.
Wie kann man sich vor Quishing schützen?
Ein wichtiger Tipp: Vorsicht bei QR-Codes, die überklebt oder nachträglich angebracht wirken. Immer prüfen, ob der Code zu einer offiziellen Quelle gehört. Viele Smartphones zeigen nach dem Scannen die Zieladresse an, bevor die Seite geöffnet wird. Dabei genau hinschauen: Ist die URL plausibel? Enthält sie wirklich den Namen des vermeintlichen Anbieters? Fallen Tippfehler oder seltsame Zusätze auf? Endet die Adresse mit einer seltsamen Länderkürzel, also etwa .ru statt .de? Im Zweifel lieber nicht öffnen! Spezielle QR-Scanner-Apps, die verdächtige Links automatisch prüfen und vor Gefahren warnen, sind sehr hilfreich – beispielsweise „Kaspersky QR Scanner“ oder „Trend Micro QR Scanner“. Ein weiterer Tipp: Passwort-Manager verwenden, die warnen, wenn Zugangsdaten auf unbekannten oder gefälschten Seiten eingegeben werden sollen. So kann selbst ein versehentlicher Klick nicht zum teuren Daten-GAU führen.
Was sagen Experten zu Quishing?
„QR-Codes sind praktisch, aber sie sind auch ein Einfallstor für Cyberkriminelle“, warnt Sebastian Schinzel, Professor für IT-Sicherheit an der FH Münster. „Wer blind jeden Code scannt, riskiert seine Daten und im schlimmsten Fall sein Geld“, sagt der Experte. Die Verbraucherzentrale empfiehlt dringend, keine persönlichen Daten oder Passwörter auf Webseiten einzugeben, die über einen QR-Code aufgerufen wurden – vor allem bei Diensten wie Online-Banking oder Internet-Shops.