Quishing: Betrüger kapern QR-Codes im Alltag

Eine perfide Betrugsmasche mit QR-Codes greift um sich. Kriminelle überkleben Codes an Parkscheinautomaten oder verschicken gefälschte Bankbriefe, um an sensible Daten zu gelangen. Die sogenannte Quishing-Welle zielt darauf ab, Verbraucher im stressigen Alltag zu überrumpeln.

Da Betrüger zunehmend mobile Geräte für den Datenklau ins Visier nehmen, ist ein grundlegender Schutz für Ihr Smartphone unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen in einfachen Schritten, wie Sie WhatsApp, Online-Banking und Co. wirksam absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

So funktioniert der Betrug mit den Quadraten

Die Täter nutzen die Intransparenz von QR-Codes aus. Das menschliche Auge kann nicht erkennen, welche Internetadresse sich hinter dem schwarz-weißen Muster verbirgt. Die manipulierten Codes platzieren sie strategisch dort, wo Menschen schnelle Transaktionen erwarten: an Parkscheinautomaten, Ladesäulen, in Bussen oder als angebliche Post von der Bank.

Scannt ein Opfer den Code, landet es auf einer professionell gefälschten Webseite. Diese sieht den echten Portalen von Banken oder Bezahldiensten täuschend ähnlich. Dort werden Kreditkartendaten, Passwörter oder Online-Banking-Informationen abgefragt. Viele Smartphones öffnen die Seite sofort – eine Sicherheitsabfrage bleibt aus. Die Daten landen in Echtzeit bei den Kriminellen.

Aktuelle Fälle zeigen die Gefahr

Erst vergangenen Freitag warnte das Polizeipräsidium Trier vor gefälschten Bankbriefen. Ein Anwohner hatte eine verdächtige Person beobachtet, die Schreiben mit dem Logo der Volksbanken Raiffeisenbanken verteilte. Ein darin enthaltener QR-Code sollte angeblich zur „Datenaktualisierung“ führen.

In Immenstadt klebten Betrüger einen Code über einen echten Parkscheinautomaten. Eine Frau scannte ihn, bezahlte – und erhielt trotzdem einen Strafzettel. Ihr Geld floss direkt auf ein kriminelles Konto. Auch im Ausland häufen sich die Fälle: Schweizer Touristen fielen an Ladesäulen in Schottland und Norwegen auf die Masche herein, ihre Kreditkarten wurden gesperrt.

Warum herkömmliche Sicherheit versagt

IT-Experten erklären, warum Quishing so erfolgreich ist: Herkömmliche E-Mail-Filter erkennen bösartige Textlinks, stufen QR-Codes aber als harmlose Bilddateien ein. So passieren die Codes mühelos die Spamfilter, versteckt in PDF-Rechnungen oder Paketbenachrichtigungen.

Der Angriff verlagert sich zudem vom geschützten Heim-PC auf das private Smartphone. Auf dem kleinen Bildschirm ist die Browser-Adressleiste oft ausgeblendet. Unter Zeitdruck am Parkautomaten verzichten viele Nutzer dann auf eine genaue Prüfung – genau das nutzen die Kriminellen aus.

Viele Android-Nutzer übersehen entscheidende Sicherheitslücken, die Hackern den Zugriff auf private Informationen erleichtern. Das kostenlose Sicherheitspaket liefert Ihnen praxistaugliche Checklisten für geprüfte Apps und wichtige Updates, um Ihr Gerät spürbar sicherer zu machen. Kostenlosen Android-Sicherheits-Leitfaden anfordern

Diese Schutzmaßnahmen helfen jetzt

Die technische Hürde für die Täter ist minimal: QR-Codes lassen sich im Internet sekundenschnell kostenlos generieren. Verbraucher müssen deshalb selbst wachsam sein. Die Polizei rät, Codes im öffentlichen Raum kritisch zu prüfen. Überklebte Stellen oder fühlbare Ränder sind ein klares Warnsignal.

Besser ist es, die offizielle App des Parkraumbewirtschafters oder Ladesäulenbetreibers direkt zu nutzen und den Standort manuell einzugeben. In den Smartphone-Einstellungen sollte die Kamera-Funktion „Automatisches Öffnen von Webseiten“ deaktiviert werden. So lässt sich die Ziel-URL vorher prüfen. Kryptische Adressen oder Rechtschreibfehler sind Alarmzeichen.

Verkehrsclubs wie der ADAC fordern Konsequenzen von den Betreibern. Sie empfehlen dynamische QR-Codes auf Displays statt statischer Aufkleber oder klassische Kartenterminals zur Direktzahlung. Wer Opfer geworden ist, sollte sofort die Bank kontaktieren, Karten sperren lassen und Anzeige erstatten.