Sie dachten, Sie würden nur eine Speisekarte aufrufen oder für einen Parkschein bezahlen. Vielleicht wollten Sie auch nur einen Paketzettel überprüfen, der an Ihrer Tür klebt. Ein kurzer Scan, ein vertrautes Logo, und die Seite wird sofort auf Ihrem Smartphone geladen. Nichts daran fühlte sich so an, als würden Sie ein Risiko eingehen.
Genau deshalb nimmt QR-Code-Betrug so rasant zu. QR-Codes sind mittlerweile Teil unseres Alltags. Wir finden sie auf Restauranttischen, auf Hinweistafeln im öffentlichen Raum, in E-Mails und auf Paketsendungen sowie bei Zahlungsvorgängen. Sie sollen uns das Leben erleichtern, da sie uns das Eingeben einer URL oder das Herunterladen einer App ersparen. Außerdem sollen sie sicherer sein als auf einen Link zu klicken.
Die Betrüger wissen das.
Anstatt Sie mit einem dubiosen Link zu ködern, sollen Sie etwas scannen, das zunächst ganz gewöhnlich aussieht. Doch sobald Sie dies tun, werden Sie zu gefälschten Anmeldeseiten, betrügerischen Zahlungsvorgängen oder schädlichen Websites weitergeleitet. Dort werden Ihre Daten gestohlen, bevor Sie merken, dass etwas nicht stimmt.
Diese Taktik nennt sich Quishing. Da QR-Codes immer häufiger genutzt werden, um Links in der realen Welt zu ersetzen, ist es wichtig, zu verstehen, wie Quishing funktioniert und wie Sie sich davor schützen können.
Was ist Quishing?
Quishing ist eine Form von Phishing, bei der die Angreifer statt klickbarer Links QR-Codes nutzen, um die Opfer dazu zu bringen, schädliche Websites aufzurufen oder sensible Daten einzugeben.
Der Begriff ist ein Kofferwort aus QR-Code und Phishing und steht für einen einfachen, aber gefährlichen Wandel bei Betrugstaktiken: Anstatt auf etwas zu klicken, sollen Sie nun etwas scannen.
Nach dem Scannen kann ein gefälschter QR-Code zu Folgendem führen:
- Websites, auf denen Anmeldedaten erfasst werden
- Zahlungsaufforderungen oder gefälschte Rechnungen
- Malware-Downloads
- gefälschte Portale für Kunden-Support
- Abofallen
Da bei QR-Codes vor dem Scannen keine URL zu sehen ist, entfällt eines der wichtigsten Anzeichen, an denen Betrug erkennbar ist.
Häufige Formen von QR-Code-Betrug, die Sie kennen sollten
Es gibt zwar viele Varianten von Quishing-Angriffen, doch die meisten folgen einem vorhersehbaren Muster.
1. Gefälschte QR-Codes zum Parken und Bezahlen
Betrüger überkleben die QR-Codes von Parkscheinautomaten mit eigenen Aufklebern. Nach dem Scannen dieser betrügerischen QR-Codes werden die Opfer auf gefälschte Bezahlseiten weitergeleitet, um an ihre Kartendaten zu gelangen.
Warnsignal: Ein QR-Code, hinter dem vollständige Zahlungsdaten abgefragt werden, ohne zu einem bekannten Parkschein-Anbieter oder Ähnlichem weiterzuleiten.
2. Falsche Speisekarten im Restaurant
Betrüger ersetzen die echten QR-Codes von Speisekarten durch gefälschte, die zu Phishing-Seiten oder schädlichen Downloads führen.
Warnsignal: Sie sollen sich anmelden, eine App herunterladen oder persönliche Daten eingeben, um die Speisekarte zu sehen.
3. Zustell- und Paketbenachrichtigungen
Sie finden eine Benachrichtigungskarte im Briefkasten oder an der Tür, auf der steht, dass Sie eine Zustellung verpasst haben und einen QR-Code scannen sollen, um einen neuen Termin zu vereinbaren.
Warnsignal: Vage Angaben zur Zustellung und Druck, schnell zu handeln.
4. Gefälschte Sicherheitswarnungen für Konten
QR-Codes, die auf Seiten weiterleiten, auf denen behauptet wird, dass das Konto Ihrer Bank, Ihres Streaming-Dienstes oder Ihres E-Mail-Anbieters verifiziert werden muss.
Warnsignal: Jeder QR-Code, bei dem Sie angeblich aus Sicherheitsgründen sofort handeln sollen.
5. Abofallen und gefälschte Angebote
Einige QR-Codes locken mit Rabatten, Rückerstattungen oder Prämien, binden Benutzer jedoch gleichzeitig an wiederkehrende Gebühren.
Warnsignal: Das Kleingedruckte ist schwer zu finden oder fehlt gänzlich.
Was Quishing besonders gefährlich macht
QR-Code-Betrüger sind nicht deshalb erfolgreich, weil Menschen unvorsichtig sind, sondern weil sie unser Vertrauen und unsere gewohnten Abläufe ausnutzen.
Quishing unterscheidet sich in einigen Punkten von herkömmlichen Phishing-E-Mails:
- Es erfolgt gleichzeitig offline und online.
- Es erscheint oft an vertrauten Stellen an realen Standorten.
- Es geht schneller und fühlt sich “seriöser” an.
- Die Links sind nicht sofort sichtbar.
Ist das Opfer erst einmal auf einer gefälschten Website gelandet, kann der Schaden schnell enorme Ausmaße annehmen: Von gestohlenen Anmeldedaten über geleerte Konten bis hin zum Identitätsdiebstahl ist alles möglich.
So erkennen Sie einen gefälschten QR-Code vor dem Scannen
Um sich zu schützen, müssen Sie QR-Codes nicht vollständig meiden, sollten sich aber etwas mehr Zeit nehmen.
Prüfen Sie die nähere Umgebung.
Ist der QR-Code aufgeklebt, zerkratzt oder wurde ein bestehender Code überklebt? Dies ist eine gängige Taktik.
Achten Sie auf Unstimmigkeiten.
Rechtschreibfehler, generische Logos oder Farben, die nicht zueinander passen, sind allesamt Warnsignale.
Sehen Sie sich eine Vorschau des Links an.
Die meisten Smartphone-Kameras zeigen jetzt die URL an, bevor sie geöffnet wird. Nehmen Sie sich einen Moment Zeit, um diese zu prüfen.
Werden Sie misstrauisch, wenn Sie unter Druck gesetzt werden.
Jeder QR-Code, der Sie zu sofortigem Handeln drängt, sollte besonders kritisch geprüft werden.
So schützen Sie sich vor betrügerischen QR-Codes
Schritt 1: Behandeln Sie QR-Codes wie Links.
Jeder QR-Code führt zu einer Website. Gehen Sie damit genauso vorsichtig um wie mit jedem anderen Link.
Schritt 2: Geben Sie keine sensiblen Daten ein.
Seriöse Dienste fragen in der Regel nicht über QR-Codes nach Kennwörtern, Zahlungsinformationen oder persönlichen Daten.
Schritt 3: Verwenden Sie Sicherheitstools.
Sicherheitssoftware kann Ihnen dabei helfen, böswillige Websites aufzuspüren und riskante Downloads zu blockieren, bevor Schäden entstehen.
Schritt 4: Rufen Sie es im Zweifelsfall manuell auf.
Rufen Sie die offizielle Website oder App manuell auf, statt einen Code zu scannen.
Das sollten Sie tun, wenn Sie einen verdächtigen QR-Code gescannt haben
Wenn Sie glauben, einen böswilligen QR-Code gescannt zu haben, sollten Sie Folgendes tun:
- Schließen Sie sofort die Website.
- Geben Sie keine weiteren Daten ein.
- Überwachen Sie Ihre Finanzkonten auf ungewöhnliche Aktivitäten.
- Ändern Sie Ihr Kennwort, falls Sie Anmeldedaten eingegeben haben.
- Führen Sie einen Sicherheitsscan auf Ihrem Gerät durch. Nutzen Sie dazu unsere kostenlose Testversion.
- Melden Sie den Vorfall dem betroffenen Unternehmen oder der Einrichtung vor Ort.
Wenn Sie rechtzeitig handeln, können Sie langfristige Folgen eindämmen.
Häufig gestellte Fragen
Was ist Quishing, einfach ausgedrückt?
Quishing ist eine Form des Phishings, bei dem QR-Codes dazu genutzt werden, um Menschen zum Aufrufen gefälschter oder schädlicher Websites zu verleiten.
Sind QR-Codes grundsätzlich unsicher?
Nein, aber sie können für böswillige Zwecke missbraucht werden. Die Gefahr liegt also nicht im QR-Code selbst, sondern darin, wohin er führt.
Kann sich beim Scannen eines QR-Codes Malware installieren?
In einigen Fällen ist das möglich – vor allem, wenn Sie etwas herunterladen sollen oder auf eine schädliche Website weitergeleitet werden.
Nimmt QR-Code-Betrug zu?
Ja. Aufgrund der zunehmenden Verbreitung von QR-Codes nutzen Betrüger diese immer häufiger, um herkömmliche Abwehrmaßnahmen zu umgehen.
Bleiben Sie auf dem Laufenden
Folgen Sie uns, um alle Neuigkeiten von McAfee und zu aktuellen Sicherheitsbedrohungen für Privatanwender und Mobilgeräte zu erfahren.
