Quishing: Betrüger nutzen QR-Codes in gefälschten Bankbriefen

Sicherheitsbehörden warnen vor einer neuen Betrugswelle namens Quishing. Kriminelle verschicken täuschend echte Briefe im Namen von Banken, die einen QR-Code enthalten. Wer ihn scannt, landet auf einer gefälschten Seite und gibt seine Zugangsdaten preis.

Die Masche kombiniert das Vertrauen in die Briefpost mit digitaler Kriminalität. Während E-Mail-Filter Phishing-Mails oft abfangen, landen diese physischen Schreiben direkt im Briefkasten. Die Täter setzen ihre Opfer gezielt unter Druck: Sie drohen mit Kontosperrungen, sollte der QR-Code nicht sofort gescannt werden.

So funktioniert die perfide Quishing-Masche

Quishing setzt sich aus QR-Code und Phishing zusammen. Die Betroffenen erhalten einen professionell gestalteten Brief, der kaum von echter Bankpost zu unterscheiden ist. Das Schreiben fordert eine dringende Handlung – etwa die Aktualisierung der Banking-App oder die Zustimmung zu neuen Geschäftsbedingungen.

Der entscheidende Haken ist der beigefügte QR-Code. Scannt man ihn, öffnet sich nicht die offizielle Bankseite, sondern eine täuschend echte Fälschung. Dort werden sensible Daten wie PIN, TAN oder der VR-NetKey abgefragt. Haben die Kriminellen diese Informationen, können sie unbemerkt auf das Konto zugreifen oder Identitätsdiebstahl begehen.

QR-Code-Quishing ist besonders heimtückisch: Ein harmloser Scan reicht, und Betrüger können Zugangsdaten abgreifen oder Sie zu schnellen, vermeintlich dringenden Aktionen drängen. Das kostenlose Anti-Phishing-Paket bietet eine leicht verständliche 4‑Schritte-Anleitung, mit der Sie QR-Links prüfen, verdächtige URLs erkennen, Zwei-Faktor-Authentifizierung richtig nutzen und im Verdachtsfall richtig reagieren. Praktische Checklisten helfen sofort. Jetzt kostenlosen Anti-Phishing-Guide anfordern

Diese Warnsignale sollten Sie kennen

Die Briefe wirken authentisch, verraten sich aber oft durch typische Merkmale. Verbraucherzentralen und Landeskriminalämter raten, auf folgende Alarmzeichen zu achten:

• Unpersönliche Anrede: Echte Bankpost adressiert Kunden namentlich. Fälschungen beginnen oft mit „Sehr geehrte Kontoinhaberin“.
• Dringlichkeit und Drohungen: Die Täter erzeugen Zeitdruck durch kurze Fristen und die Androhung von Kontosperrungen.
• Sprachliche Fehler: Ungewöhnliche Formulierungen oder Grammatikfehler können auf eine Fälschung hindeuten.
• QR-Code als zentrale Aufforderung: Seriöse Institute fordern Kunden per Brief normalerweise nicht auf, einen QR-Code für sicherheitsrelevante Aktionen zu scannen.
• Abweichende Webadresse: Nach dem Scannen sollte die im Browser angezeigte URL genau geprüft werden. Oft weicht sie durch kleine Tippfehler von der Originaladresse ab.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät grundsätzlich zur Vorsicht bei QR-Codes aus unaufgefordert erhaltener Post.

Warum die analoge Masche so erfolgreich ist

Der Trick der Betrüger liegt in der cleveren Verknüpfung zweier Welten. Ein offiziell wirkender Brief genießt bei vielen Menschen mehr Vertrauen als eine E-Mail und umgeht digitale Spam-Filter gleichzeitig. Die Allgegenwart von QR-Codes – von Speisekarten bis Werbeplakaten – hat zudem zu einer gewissen Sorglosigkeit geführt.

Sicherheitsexperten weisen auf ein weiteres Problem hin: Smartphones sind oft schlechter gegen solche Angriffe geschützt als Computer. Antiviren-Apps erkennen den bösartigen Link hinter einem abgedruckten QR-Code nicht. Diese Lücke nutzen die Kriminellen gezielt aus. Betroffen sind Kunden verschiedenster Institute, von Volksbanken bis zu Großbanken.

So schützen Sie sich wirksam

Die Methoden der Betrüger werden immer raffinierter. Daher ist Wachsamkeit der beste Schutz. Polizei und Verbraucherschützer empfehlen folgende Maßnahmen:

• Im Zweifel nachfragen: Kontaktieren Sie Ihre Bank bei verdächtiger Post über einen bekannten, offiziellen Kanal – etwa die Hotline von der Rückseite Ihrer Karte.
• QR-Codes misstrauen: Rufen Sie Ihr Online-Banking immer manuell über die offizielle App oder durch direkte Eingabe der Webadresse auf.
• URL-Vorschau prüfen: Viele Smartphones zeigen vor dem Öffnen eine Vorschau der Zieladresse an. Sehen Sie sich diese genau an.
• Zwei-Faktor-Authentifizierung nutzen: Aktivieren Sie eine Multi-Faktor-Authentifizierung (MFA). Selbst wenn Betrüger Ihr Passwort haben, schützt ein zweiter Faktor – wie eine TAN-App – Ihr Konto.

Sollten Sie bereits Daten auf einer verdächtigen Seite eingegeben haben, sperren Sie umgehend Ihr Konto bei Ihrer Bank und erstatten Sie Anzeige bei der Polizei.

PS: Viele Quishing-Angriffe funktionieren über psychologischen Druck – Dringlichkeit, Angst vor Sperrungen oder falsche Autorität. Das Anti-Phishing-Paket erklärt die gängigen Angriffsstrategien, zeigt reale Beispiele und gibt praktische Tipps, wie Sie Fälschungen und manipulative Formulierungen sofort erkennen. Inklusive Checkliste für den Notfall und Hinweise, wie Sie Ihre Bank richtig informieren. Jetzt Anti-Phishing-Paket kostenlos sichern