Quishing: QR-Code-Betrug erreicht neue Dimension

Verbraucherschützer und IT-Experten warnen vor einer Explosion von QR-Code-Phishing. Die sogenannten Quishing-Angriffe nutzen raffinierte Techniken, um selbst moderne Sicherheitsfilter auszutricksen. Besonders perfide: Kriminelle setzen zunehmend auf täuschend echte Nachrichten, die mit künstlicher Intelligenz erstellt wurden.

Da Quishing-Angriffe speziell auf mobile Endgeräte abzielen, ist ein Basisschutz für das Smartphone heute unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen, mit welchen 5 einfachen Maßnahmen Sie WhatsApp, Banking und Ihre persönlichen Daten effektiv absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Behörden schlagen Alarm

Pünktlich zum Weltverbrauchertag warnte die Verbraucherzentrale eindringlich vor der rasanten Zunahme der Betrugsmethode. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die Bedrohung als akut ein. Die Masche zielt vor allem auf Bankkunden ab.

Die Täter verschicken E-Mails oder Briefe im fehlerfreien Design deutscher Kreditinstitute. Diese fordern etwa zur Reaktivierung des TAN-Verfahrens auf – natürlich über einen beigefügten QR-Code. Unter psychologischem Druck scannen viele Opfer den Code unbedacht. Das Smartphone als Endgerät ist dabei oft schlechter geschützt als ein Büro-PC.

ASCII-Codes umgehen alle Filter

Die technische Raffinesse der Angreifer erreicht einen neuen Höhepunkt. Herkömmliche E-Mail-Sicherheitssysteme, die auf schädliche Links spezialisiert sind, stehen hier oft machtlos da. Ein QR-Code verbirgt sein Ziel bis zum Scannen.

Noch trickreicher: Immer mehr Angriffe nutzen keine Bilddateien mehr, sondern textbasierte ASCII-Codes. Erkennungssysteme, die pixelbasierte Bilder analysieren, übersehen diese Form vollständig. Branchenexperten sprechen von einem massiven toten Winkel in der IT-Abwehr. Die Täter durchbrechen die Sicherheit nicht mehr – sie umgehen sie schlichtweg.

Während Privatnutzer oft am Smartphone attackiert werden, nutzen Hacker bei Unternehmen gezielte psychologische Muster für Phishing-Angriffe. In diesem Experten-Guide erfahren Sie in 4 Schritten, wie Sie Ihre Organisation wirksam vor modernen Betrugsmaschen schützen. Kostenloses Anti-Phishing-Paket herunterladen

Angriffe dringen in den Alltag ein

Quishing beschränkt sich längst nicht mehr auf E-Mails. In Thüringen und Sachsen-Anhalt warnte die Polizei vor gefälschten Einwurfbenachrichtigungen in Briefkästen. Diese imitieren DHL-Flyer und locken mit einem angeblichen Paket. Der Code führt jedoch auf Phishing-Seiten.

Auch im öffentlichen Raum tauchen manipulierte Codes auf. Betrüger überkleben legitime QR-Codes an Parkscheinautomaten, E-Ladesäulen oder Restaurant-Speisekarten mit eigenen Aufklebern. Im digitalen Umfeld ahmt über die Hälfte der Kampagnen die Microsoft-365-Umgebung nach – für Mitarbeiter wirkt die Aufforderung zum Scan wie eine interne Sicherheitsmaßnahme.

Ein fundamentaler Wandel der Cyberkriminalität

Die Zahlen belegen den rasanten Aufstieg von Quishing. Während 2021 nur 0,8 Prozent aller Phishing-Angriffe einen QR-Code enthielten, stieg der Anteil bis Ende 2025 auf zwölf Prozent. Das absolute Volumen explodierte: von 47.000 E-Mails im August 2025 auf über 249.000 im November.

Analysten sehen eine logische Anpassung der Kriminellen. Seit der Pandemie sind QR-Codes allgegenwärtig und genießen hohes Vertrauen. Gleichzeitig verlagern Angreifer den Angriffspunkt auf das oft schlechter gesicherte Smartphone. Die Kombination aus mobiler Nutzung und visuellem Code macht Quishing zum lukrativen Geschäftsmodell für professionelle Hacker.

Wie können sich Nutzer schützen?

Experten raten zu einer konsequenten Zero-Trust-Haltung. Seriöse Banken oder Behörden fragen niemals sensible Daten über unaufgeforderte QR-Codes ab. Vor der Eingabe von Anmeldedaten muss die angezeigte URL im Browser stets penibel geprüft werden.

Für die Zukunft arbeiten Sicherheitsunternehmen an neuen Abwehrmechanismen. Ein vielversprechender Ansatz ist verhaltensbasierte Biometrie. Banking-Apps könnten analysieren, wie Nutzer ihr Smartphone halten. Weicht dieses Muster unter dem Stress eines Betrugs ab, würde die Transaktion blockiert. Bis dahin bleiben Misstrauen und Sensibilisierung die wirksamsten Waffen gegen die Gefahr aus dem Pixelquadrat.

boerse | 68832707 |