Quishing: Vorsicht vor Phishing-Betrug mit QR-Codes

E-Mails mit schädlichen QR-Codes im Jahr 2021 markierten den Beginn der Masche "Quishing". Kriminelle machten sich die zunehmende Bekanntheit der QR-Codes in der Corona-Pandemie zunutze und stellten selbst Fälschungen von Kachelbildern her. In den besagten E-Mails aus dem Jahr 2021 waren die Logos bekannter Banken zu sehen. Fielen die Opfer auf die vermeintlichen Anschreiben ihrer Bank herein und scannten den QR-Code mit ihrer Handykamera ab, gelangten sie auf die Website der Täter. Nach entsprechender Eingabe durch die Opfer konnten die Kriminellen dort zum Beispiel Daten für das Online-Banking abgreifen oder über die Gelder verwalten und den gewünschten Schaden anrichten.

Die E-Mails waren jedoch für geschulte Augen leicht zu erkennen, weshalb sich die Cyberkriminellen offenbar weiterentwickeln konnten. So berichtet das Landeskriminalamt Niedersachsen im Jahr 2025 von einer erweiterten Form der Betrugsmasche "Quishing". Die Täter hatten dabei gedruckte Fälschungen von QR-Codes an Parkautomaten angebracht. Sie überklebten die echten Codes des Parkanbieters "Pay by Phone" mit ihren eigenen Fälschungen, was von außen nicht ersichtlich war. Die Betroffenen scannen somit einen QR-Code, der sie auf die Website der Täter bringt. Über diese Homepage können die Kriminellen während des Angriffs Zugangsdaten erlangen oder zumindest die tatsächliche Überweisung der Parkgebühr umleiten, um einen Vermögensvorteil zu erlangen.

Ein gut gemachtes QR-Code-Phishing ist allein anhand des Codes kaum zu erkennen. Vielmehr sollten die weiteren Umstände genutzt werden, um Aufmerksamkeit zu erregen, wobei dies stark von der jeweiligen Masche abhängt. Wenn die Täter E-Mails mit gefälschten QR-Codes verschicken, können die Empfänger die allgemeinen Tipps zum Schutz vor Phishing beachten. Hierzu zählen für Briefe und E-Mails:

• Absenderadresse auf Schreibfehler und Unlogiken überprüfen

• Den Sprachstil auf Grammatikfehler, untypische Formulierungen und Satzstellungen checken

• Links mit den originalen Adressen vergleichen

• Anhänge nur öffnen, wenn die E-Mail erwartet wird

• Dringlichkeiten und Drohungen kritisch betrachten

Handelt es sich nicht um einen QR-Code in einer E-Mail oder einem Brief, wird die Enttarnung des Betrugs noch schwieriger. Hier kann nur ein genauer Blick auf den QR-Code selbst helfen. Ist dieser nicht ganz gerade, ist bereits höchste Vorsicht geboten. Außerdem kleben Anbieter nur sehr selten ihre QR-Codes auf. Normalerweise sind sie auf Schildern, an Automaten oder auf Menükarten aufgedruckt. Ist das Scannen des Codes bereits erfolgt, ist eine Überprüfung der Zieladresse absolut ratsam. Zudem müssen die Alarmglocken läuten, wenn die aufgerufene Website direkt nach Daten fragt oder vom bekannten Layout abweicht.

Smartphone-Nutzer können sich technisch vor der Betrugsmasche mit QR-Codes schützen. In erster Linie sind hier sichere Apps zum QR-Scannen zu nennen. Diese Programme ersetzen die Handykamera und warnen direkt vor verdächtigen Seiten. Außerdem sollte das automatische Ausführen von QR-Links blockiert sein. So kann zunächst der Link manuell überprüft werden, bevor das Smartphone mit dem Internet verbunden wird. Selbstverständlich sind auch Anti-Viren-Apps sowie ein Phishing-Filter im Browser wichtige Bestandteile für den sicheren Umgang mit mobilen Daten.

Wichtig zu wissen ist, dass viele Anbieter von QR-Codes eine eigene App besitzen. Ein Scan des Codes sollte daher nicht auf eine Website führen, sondern die App des Anbieters öffnen, sofern diese auf dem Smartphone installiert ist. Es ist also ratsam, die Apps der Park-, Tank- oder Gastroanbieter auf dem eigenen Handy zu haben. Ein weiterer wichtiger Schutz ist der Abschluss einer Versicherung gegen Cyberkriminalität, wie du sie bei SaferYou findest. Im Fall der Fälle helfen unsere Experten bei einem Internetbetrug schnell und sicher weiter.