Quishing: Gefälschte Rechnungen und QR-Codes leiten Zahlungen um

Betrüger manipulieren Rechnungen und QR-Codes, um Geld auf ihre Konten umzuleiten. Die als Quishing bekannte Methode nutzt gefälschte Dokumente und abgefangene E-Mails, um hohe finanzielle Schäden zu verursachen. Verbraucherschützer und Sicherheitsbehörden warnen aktuell vor einer Zunahme dieser perfiden Angriffe.

So funktioniert der digitale Rechnungsbetrug

Die Cyberkriminellen gehen äußerst geschickt vor. Eine gängige Methode ist der Zugriff auf E-Mail-Konten von Unternehmen, oft über allgemeine Adressen wie „info@“ oder „kontakt@“. Haben die Täter Zugriff, fangen sie ausgehende Rechnungs-E-Mails ab. Sie verändern nicht die Nachricht selbst, sondern manipulieren das angehängte PDF: Die IBAN des Empfängers wird durch eine eigene ersetzt.

Da die E-Mail vom vertrauten Absender stammt, schöpfen viele Kunden keinen Verdacht und überweisen auf das falsche Konto. Der Betrug fliegt oft erst auf, wenn der eigentliche Rechnungssteller eine Mahnung verschickt.

Rechnungs- und QR‑Code-Phishing führt immer wieder zu hohen finanziellen Schäden – besonders wenn manipulierte PDFs oder täuschend echte Bezahlseiten Kunden in die Falle locken. Das kostenlose Anti‑Phishing‑Paket bietet eine praxisnahe 4‑Schritte-Anleitung zum Schutz vor CEO‑Fraud, gefälschten Rechnungen und manipulierten QR‑Codes. Mit konkreten Abwehrmaßnahmen für Unternehmen und IT‑Verantwortliche helfen die Checklisten dabei, Schäden zu vermeiden und das Kundenvertrauen zu sichern. Jetzt kostenloses Anti-Phishing-Paket herunterladen

QR-Codes als gefährliche Fallen

Eine zweite Variante ist das Quishing – eine Kombination aus QR-Code und Phishing. Hier werden Bezahl-QR-Codes zur Falle:
* Gefälschte Codes in Phishing-E-Mails
* Manipulierte Aufkleber auf echten Codes im öffentlichen Raum (Parkautomaten, Ladesäulen)
* Gefälschte Briefe von vermeintlichen Banken

Der Scan führt auf eine täuschend echte Betrugsseite, die zur Eingabe von Bank- oder Kreditkartendaten auffordert. Viele Antivirenprogramme erkennen QR-Codes nur als Bilder, wodurch Sicherheitsfilter umgangen werden.

Wer haftet für den finanziellen Schaden?

Die juristische Lage ist komplex. Gerichte haben in der Vergangenheit unterschiedlich geurteilt. In einigen Fällen mussten Kunden den Schaden tragen, weil sie bei offensichtlichen Warnsignalen – wie einer plötzlich geänderten Auslands-IBAN – nicht hätten zahlen dürfen.

Für Unternehmen geht der Schaden über den finanziellen Verlust hinaus: Wird ihr Name für manipulierte Rechnungen missbraucht, leidet das Kundenvertrauen nachhaltig.

So schützen Sie sich als Rechnungsempfänger

• IBAN immer abgleichen: Prüfen Sie die Kontodaten auf Rechnungen mit früheren Belegen oder der offiziellen Webseite des Unternehmens.
• Bei Änderungen nachfragen: Ändert sich die Bankverbindung eines bekannten Partners, klären Sie das telefonisch ab.
• QR-Codes kritisch prüfen: Scannen Sie Codes nur aus vertrauenswürdigen Quellen. Kontrollieren Sie in Ihrer Banking-App immer Empfänger und Betrag vor der Freigabe.
• Sichere Scanner nutzen: Verwenden Sie QR-Scanner-Apps mit integrierten Sicherheitswarnungen.

So schützen Unternehmen ihre Kunden

• IT-Sicherheit erhöhen: Sichern Sie E-Mail-Konten mit starken Passwörtern und Zwei-Faktor-Authentifizierung.
• Transparent kommunizieren: Legen Sie Ihre gültigen Bankverbindungen auf der Webseite offen.
• Schnell reagieren: Stellen Sie manipulierte Rechnungen in Ihrem Namen fest, informieren Sie sofort Ihre Kunden und erstatten Sie Anzeige.

Angriffe werden immer raffinierter

Experten rechnen mit einer weiteren Zunahme der Angriffe. Die Methoden werden ausgefeilter: Kriminelle zerlegen QR-Codes bereits in Puzzleteile, um die Erkennung zu erschweren. Der beste Schutz bleibt eine gesunde Skepsis und die konsequente Prüfung jeder Zahlungsanweisung.