QR-Code-Betrug: Neue Phishing-Welle erreicht Deutschland

Quishing-Angriffe nehmen weltweit zu – Kriminelle nutzen geparkte Autos und Briefpost für Datenklau. Diese Woche erreicht eine gefährliche Phishing-Methode namens „Quishing“ auch deutsche Nutzer. Betrüger platzieren manipulierte QR-Codes an Parkautomaten und verschicken gefälschte Warnbriefe an Kryptobesitzer.

Bei Quishing (QR-Code-Phishing) verstecken Kriminelle schädliche Links in scheinbar harmlosen QR-Codes. Scannt ein Nutzer den Code, landet er auf einer täuschend echten Nachbildung seiner Bank- oder Microsoft-Anmeldeseite. Die eingegebenen Zugangsdaten gehen direkt an die Betrüger.

Die Methoden werden immer raffinierter: Bei „geteilten QR-Codes“ erscheint der Code dem menschlichen Auge intakt, während Sicherheitsscanner nur harmlose Fragmente erkennen. „Verschachtelte Codes“ platzieren schädliche Elemente innerhalb legitimer QR-Codes. Oft erzeugen die Täter künstliche Dringlichkeit – etwa durch angebliche Passwort-Abläufe – um Nutzer zum unbedachten Scannen zu verleiten.

Aktuelle Angriffswellen erreichen Europa

In Großbritannien warnen Behörden aktuell vor manipulierten QR-Aufklebern an Parkautomaten. Mehrere walisische Gemeinden bestätigten: „Wir nutzen keine QR-Codes für Parkgebühren – seien Sie wachsam!“ Parallel kursieren gefälschte Warnbriefe an Besitzer von Ledger-Krypto-Wallets. Die täuschend echten Schreiben enthalten QR-Codes zu Phishing-Seiten für den Diebstahl digitaler Vermögenswerte.

Bereits im Juli 2025 warnte das FBI vor unerwünschten Paketen mit rätselhaften QR-Codes. In Deutschland zielen aktuelle Kampagnen auf Bankkunden – betrügerische E-Mails mit QR-Codes leiten auf Datenklau-Webseiten um.

Warum Quishing so erfolgreich ist

Das Problem: Herkömmliche E-Mail-Sicherheitssysteme scannen Text-Links, aber oft keine Bilder. QR-Codes umgehen diese Barrieren problemlos. Zudem sind Nutzer für verdächtige Links sensibilisiert, scannen QR-Codes aber häufig unbedarft. Der Angriffspunkt verlagert sich vom geschützten Firmenrechner auf private Smartphones mit geringerer Sicherung.

Daten zeigen: Führungskräfte werden 42-mal häufiger attackiert als normale Mitarbeiter – wegen ihres Zugangs zu sensiblen Unternehmensressourcen. Besonders betroffen sind auch Baugewerbe und kleine Unternehmen.

Anzeige: Übrigens: Wenn Sie Ihr Android-Smartphone gezielt gegen Quishing, Banking-Trojaner und Datenklau absichern möchten – viele Nutzer übersehen fünf elementare Schutzmaßnahmen. Ein kostenloser Ratgeber führt Sie Schritt für Schritt durch die wichtigsten Einstellungen, ganz ohne teure Zusatz-Apps, und stärkt die Sicherheit bei WhatsApp, Online-Banking und PayPal im Alltag. Praktische Checklisten helfen, typische Lücken in Minuten zu schließen. Jetzt kostenloses Android-Sicherheitspaket sichern

Quishing wird zur größten Cybergefahr 2025

Laut Sicherheitsexperten entwickelt sich Quishing zum bestimmenden Angriffsvektor 2025. 90 Prozent aller Attacken zielen auf Zugangsdaten. Die Fälle nahmen 2024 um 25 Prozent zu – und steigen weiter. Der Trend zum bargeldlosen Zahlen vergrößert die Angriffsfläche: Bis 2025 sollen QR-Code-Zahlungen weltweit drei Billionen Euro überschreiten.

So schützen Sie sich vor QR-Betrug

Sicherheitsexperten empfehlen mehrstufigen Schutz: Seien Sie misstrauisch bei QR-Codes in unerwünschten Mails, SMS oder Briefen. Prüfen Sie Codes an öffentlichen Orten auf Manipulation – etwa überklebte Aufkleber. Die meisten Smartphones zeigen die Ziel-URL vor dem Öffnen an – nutzen Sie diese Vorschau!

Anzeige: Passend zum Thema QR-Betrug: Prüfen Sie nicht nur QR-Codes, sondern auch die Sicherheit Ihres Smartphones. Der Gratis-Leitfaden „Die 5 wichtigsten Schutzmaßnahmen“ zeigt leicht verständlich, wie Sie Ihr Android vor Phishing-Links, manipulierten Apps und Kontoübernahmen schützen – inklusive Checklisten. Ideal für WhatsApp, Online-Shopping und Banking. Kostenlosen Sicherheits-Guide per E-Mail anfordern

Unternehmen sollten Mitarbeiter für Quishing-Gefahren sensibilisieren und Multi-Faktor-Authentifizierung implementieren. Selbst gestohlene Zugangsdaten nutzen dann nichts mehr. Die nächste Angriffswelle könnte Künstliche Intelligenz für noch perfektere Phishing-Seiten nutzen – Wachsamkeit bleibt der beste Schutz.