Quishing: Betrüger nutzen QR-Codes in gefälschten Bankbriefen

Eine neue, analog-digitale Betrugswelle namens Quishing bedroht deutsche Bankkunden. Kriminelle verschicken täuschend echte Briefe, die Opfer über manipulierte QR-Codes auf gefälschte Bankseiten locken.

Die perfide Kombination aus Post und Phishing

Die Methode ist raffiniert: Statt per E-Mail kommen die Betrugsversuche per Post. Die Briefe imitieren das Layout seriöser Institute wie der Deutschen Bank oder Postbank und fordern unter einem Vorwand zum sofortigen Handeln auf. Als Gründe nennen sie angebliche Sicherheitsupdates, Datenbestätigungen oder neue Gesetze. Der entscheidende Haken ist ein abgedruckter QR-Code, der angeblich zur Verifizierung gescannt werden muss. In Wirklichkeit führt er auf eine täuschend echte Phishing-Seite der Betrüger. Wer dort seine Login-Daten eingibt, liefert sie den Kriminellen direkt aus.

Verbraucherschützer warnen aktuell vor einer neuen Angriffswelle. Im Phishing-Radar der Verbraucherzentrale NRW werden täglich neue Fälle dokumentiert. Die Täter setzen bewusst auf Druck: Sie drohen mit Kontosperrungen und setzen extrem kurze Fristen. Typische Warnsignale sind eine unpersönliche Anrede wie „Sehr geehrte Kontoinhaberin“ statt des vollen Namens und unseriöse Absenderadressen.

QR‑Code‑Phishing per Post und an öffentlichen Stellen nimmt zu — gerade Bankkunden sind gefährdet. Ein kostenloses Anti‑Phishing‑Paket erklärt in einer klaren 4‑Schritte‑Anleitung, wie Sie manipulierte Codes erkennen, die Ziel‑URL prüfen und im Ernstfall schnell die richtigen Schritte einleiten, um Kontoverlust zu verhindern. Mit praktischen Checklisten, Erklärungen zu gängigen Tricks und Musterformulierungen für Bank- und Polizeimeldungen. Jetzt Anti‑Phishing‑Paket herunterladen

Warum die QR-Code-Falle so gut funktioniert

Die Technik hinter dem Quishing ist simpel, aber wirkungsvoll. Während viele Nutzer für verdächtige Links in E-Mails sensibilisiert sind, gelten QR-Codes oft noch als vertrauenswürdig und praktisch. Genau diese Wahrnehmung nutzen die Betrüger aus. Ein häufiger Trick ist die Verschleierung der Ziel-URL. Diese ähnelt der echten Bankadresse stark, enthält aber minimale, kaum merkbare Abweichungen – etwa einen Bindestrich anstelle eines Schrägstrichs.

Viele Smartphone-Kameras zeigen die Zieladresse vor dem Öffnen an. Experten raten dringend, diese Vorschau genau zu prüfen. Ist die URL nicht zweifelsfrei als offizielle Seite der eigenen Bank erkennbar, sollte der Link nicht geöffnet werden. Neben gefälschten Briefen tauchen manipulierte Codes auch an Parkautomaten, E-Ladesäulen oder auf gefälschten Strafzetteln im öffentlichen Raum auf.

So schützen Sie sich vor der QR-Code-Falle

Der beste Schutz ist ein gesundes Misstrauen gegenüber unerwarteten Aufforderungen zur Dateneingabe – egal ob per Post, E-Mail oder SMS.

Konkrete Handlungsempfehlungen:
* Druck ist ein Alarmsignal: Seriöse Banken fordern Kunden kaum unter Androhung einer sofortigen Sperrung zur Datenpreisgabe auf.
* URL immer prüfen: Nutzen Sie die Vorschau-Funktion Ihres Scanners oder Ihrer Kamera, bevor Sie eine Seite öffnen.
* Nie über verlinkte Seiten einloggen: Rufen Sie Ihr Online-Banking immer manuell im Browser auf oder nutzen Sie die offizielle App.
* Absender hinterfragen: Rechtschreibfehler, schlechtes Deutsch und eine unpersönliche Anrede deuten auf Betrug hin.

Sollten Sie bereits Daten eingegeben haben, handeln Sie sofort: Kontaktieren Sie Ihre Bank, lassen Sie den Zugang und betroffene Karten sperren und erstatten Sie Anzeige bei der Polizei. Nur so lässt sich finanzieller Schaden begrenzen.