Smartphone-Sicherheit: Neue Komfort-Funktionen befeuern QR-Code-Betrug

Neue Smartphone-Features wie “Circle to Search” machen QR-Code-Betrug massiv einfacher. Sicherheitsexperten warnen vor einer gefährlichen Welle des sogenannten “Quishings”.

Was als praktische Innovation gefeiert wird, entpuppt sich als Einfallstor für Cyberkriminelle. Die Funktion, QR-Codes direkt vom Bildschirm zu scannen, hebelt einen entscheidenden Sicherheitsmechanismus aus. Früher musste man die Kamera eines zweiten Geräts nutzen – dieser kurze Medienbruch bot Gelegenheit zum Nachdenken. Jetzt genügt ein langer Druck auf den Touchscreen.

QR‑Code‑Quishing macht klassische Filter wirkungslos — Betrüger leiten Opfer direkt auf gefälschte Login‑Seiten für Microsoft 365, Online‑Banking oder PayPal. Das kostenlose Anti-Phishing-Paket zeigt in einer klaren 4‑Schritte-Checkliste, wie Sie Phishing‑Mails und QR‑Tricks sofort erkennen, Nutzer richtig schulen und Angriffswege schließen. Ideal für Privatnutzer und kleine Unternehmen, die ihre Konten schützen wollen. Anti-Phishing-Paket jetzt kostenlos herunterladen

Warum “Scan-vom-Display” so riskant ist

Die technische Umsetzung priorisiert Geschwindigkeit vor Sicherheit. Der Link aus dem Code wird oft sofort extrahiert und zur Weiterleitung angeboten. Das birgt drei kritische Schwachstellen:

• Fehlende Prüfung: Der vollständige Link wird häufig nicht klar angezeigt, bevor der Browser öffnet.
• Umgehung von Firmen-Filtern: In Unternehmensnetzwerken prüfen Sicherheits-Gateways normalerweise Links in E-Mails. Ein QR-Code, der erst auf dem Handy des Nutzers entschlüsselt wird, umgeht diese Kontrolle.
• Blindes Vertrauen: Da die Funktion tief im System verankert ist – etwa über den Home-Button –, sinkt die natürliche Skepsis der Nutzer.

“Quishing” umgeht herkömmliche Abwehrmaßnahmen

Das Hauptproblem: Herkömmliche Virenscanner und E-Mail-Filter sind machtlos. Sie durchsuchen Text nach verdächtigen Links, erkennen QR-Codes aber oft nur als harmlose Bilddateien. Die Angriffsvektoren sind vielfältig:

• Gefälschte MFA-Aufforderungen: E-Mails, die vorgeben, von der IT-Abteilung zu kommen, fordern zur Kontoverifizierung per QR-Code auf.
• Paket-Fallen: Angeblich unzustellbare Pakete verlangen eine Adressbestätigung via Code.
• Falsche Parktickets: Eingebettete Codes in E-Mails fordern zur Zahlung angeblicher Bußgelder auf.

Durch den direkten Scan landen Nutzer ohne Warnung auf täuschend echten Login-Seiten für Microsoft 365, Online-Banking oder PayPal.

Was Nutzer jetzt tun können

Die Sicherheitsbranche arbeitet an Lösungen und integriert zunehmend Bilderkennungs-KI in E-Mail-Filter. Für Verbraucher bleibt Vorsicht die wichtigste Maßnahme. Ein QR-Code in einer unerwarteten E-Mail ist genauso verdächtig wie ein unaufgeforderter Link.

Experten raten zu diesen Sofortmaßnahmen:
* Quelle prüfen: Scannen Sie niemals Codes aus E-Mails unbekannter Absender.
* Vorschau aktivieren: Stellen Sie in den Scanner-Einstellungen sicher, dass die URL vor dem Öffnen vollständig angezeigt wird.
* Manuell navigieren: Bei Zahlungs- oder Login-Aufforderungen die offizielle Webseite lieber direkt im Browser aufrufen.

Das Katz-und-Maus-Spiel geht weiter. Während Hersteller an sichereren Implementierungen arbeiten, rüsten auch Kriminelle auf. Die Bequemlichkeit der neuen Features wird bleiben – das blinde Vertrauen in sie darf es nicht.