QR-Codes werden zur perfiden Betrugsfalle

QR-Codes entwickeln sich vom praktischen Helfer zum massiven Sicherheitsrisiko. Cyberkriminelle nutzen die schwarz-weißen Quadrate für die Betrugsmasche „Quishing“ – eine Kombination aus QR-Code und Phishing. Dabei locken manipulierte Codes ahnungslose Nutzer auf gefälschte Webseiten, um Passwörter oder Bankdaten zu stehlen. Sicherheitsbehörden warnen vor einem rasanten Anstieg dieser Angriffe.

Die Masche ist einfach und effektiv. Kriminelle erstellen QR-Codes, die zu täuschend echten Fälschungen der Login-Portale von Banken oder Shops führen. Diese Codes platzieren sie an öffentlichen Orten:
* Auf Parkautomaten oder E-Ladesäulen
* Auf Werbeplakaten
* In gefälschten Briefen, die angeblich von Behörden stammen

Scannt ein Opfer den Code, öffnet sein Smartphone die Phishing-Seite. Dort werden persönliche Daten abgefragt, die direkt zu den Betrügern gelangen. In anderen Fällen installiert der Scan unbemerkt Schadsoftware, die das Gerät ausspioniert oder sperrt.

QR‑Code‑Phishing (Quishing) nutzt genau die Lücke, die Sie im Artikel beschrieben sehen — und viele E‑Mail‑Filter bleiben gegenüber eingebetteten Codes blind. Das kostenlose Anti‑Phishing‑Paket liefert eine praxisnahe 4‑Schritte‑Anleitung: Erkennen gefährlicher QR‑Links, technische wie organisatorische Schutzmaßnahmen, Vorlagen für Mitarbeiterschulungen und Tipps gegen CEO‑Fraud. Praktisch für IT‑Verantwortliche, Sicherheitsbeauftragte und Entscheider, die Firmengeräte schützen wollen. Jetzt Anti‑Phishing‑Paket herunterladen

Neue Angriffswelle trickst E-Mail-Filter aus

Die Angreifer professionalisieren sich rasant. Eine besonders tückische Methode nutzt QR-Codes in E-Mails, um Unternehmens-Sicherheitssysteme zu umgehen. Viele E-Mail-Filter erkennen bösartige Links im Text – bleiben aber bei QR-Codes als Bilddateien oft blind.

Sicherheitsforscher warnen zudem vor „bildlosen“ QR-Codes, die direkt im HTML-Code der Mail generiert werden. Diese sind für herkömmliche Filter fast unmöglich zu erkennen. Das FBI machte kürzlich auf eine Kampagne der nordkoreanischen Hackergruppe „Kimsuky“ aufmerksam, die gezielt Mitarbeiter im Energiesektor mit bösartigen QR-Codes attackiert.

Warum die Gefahr für alle wächst

Die wirtschaftlichen Folgen sind erheblich. Für Verbraucher drohen Identitätsdiebstahl und finanzielle Verluste. Unternehmen riskieren den Zugriff auf sensible Geschäftsdaten und interne Systeme, wenn Mitarbeiter mit Firmen-Smartphones auf die Codes hereinfallen.

Die Statistiken sind alarmierend: Quishing-Angriffe stiegen laut einer Analyse von 0,8 Prozent im Jahr 2021 auf 10,8 Prozent im Jahr 2024. Eine andere Studie verzeichnete allein in einem September einen Anstieg um 51 Prozent gegenüber den Vormonaten.

Wie Sie sich wirksam schützen können

Experten sind sich einig: Die Bedrohung wird weiter zunehmen. Technologieunternehmen wie Microsoft rüsten ihre Sicherheitssoftware zwar auf, doch Aufklärung bleibt der wichtigste Schutz. Verbraucherzentralen und das Bundesamt für Sicherheit in der Informationstechnik (BSI) raten zu diesen Maßnahmen:

• Misstrauen im öffentlichen Raum: Seien Sie skeptisch bei QR-Codes auf Aufklebern, besonders wenn sie über andere Codes geklebt sind.
• Link vorher prüfen: Nutzen Sie Scanner-Apps, die den hinterlegten Link anzeigen, bevor die Seite öffnet. Deaktivieren Sie die automatische Weiterleitung.
• URL genau lesen: Prüfen Sie die Webadresse auf Rechtschreibfehler oder seltsame Domains, bevor Sie Daten eingeben.
• Offizielle Apps nutzen: Wählen Sie bei Park- oder Ladevorgängen lieber die App des Anbieters statt des QR-Codes.
• Mitarbeiter schulen: Unternehmen müssen ihre Belegschaft sensibilisieren und klare Richtlinien für den Umgang mit QR-Codes auf Firmengeräten etablieren.

PS: Sie möchten Quishing-Angriffe aktiv verhindern? Das gratis Anti‑Phishing‑Paket erklärt psychologische Angriffsmuster hinter Phishing‑Mails, branchenspezifische Risiken und konkrete Abwehrschritte — plus Checklisten für Schulungen und Sofortmaßnahmen für Firmenhandys und Mail‑Gateways. Setzen Sie die Maßnahmen in wenigen Stunden um und reduzieren Sie das Risiko für Identitätsdiebstahl und Datendiebstahl. Anti‑Phishing‑Paket gratis anfordern