Quishing-Welle: Betrüger greifen mit QR-Codes an

Sicherheitsbehörden schlagen Alarm: Pünktlich zur Black Week startet eine neue Betrugsoffensive. Die Waffe der Wahl? QR-Codes, die selbst moderne Sicherheitsfilter austricksen.

Gestern veröffentlichten IHK Magdeburg und Verbraucherzentrale NRW dringende Warnungen. Die Angreifer nutzen die hektische Schnäppchenzeit gezielt aus – mit täuschend echten Banknachrichten und manipulierten Parksystemen. Ihr Timing ist perfekt: Millionen Verbraucher sind gerade jetzt konditioniert, schnell auf E-Mails zu reagieren.

“Quishing” heißt die gefährlichste Entwicklung dieser Woche. Statt klassischer Links versenden Kriminelle E-Mails mit QR-Codes – und umgehen damit die meisten Sicherheitsfilter. Diese scannen zwar Text nach verdächtigen URLs, scheitern aber an grafischen Codes.

Die IHK warnt vor einer neuen Qualitätsstufe: Dank generativer KI sind die Betrugsmails grammatikalisch fehlerfrei und im Tonfall perfekt. Die gefälschten Nachrichten geben sich als Personalabteilung oder Geschäftsführung aus. Der QR-Code führt auf täuschend echte Login-Seiten für Microsoft 365 oder HR-Portale.

Scannen Sie QR-Codes unterwegs? Viele Android-Nutzer landen auf mobilen Phishing-Seiten, weil Standard-Scanner die Ziel-URL nicht prüfen. Unser kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android ausführlich: sichere QR-Scanner, App‑Prüfung, sinnvolle Berechtigungen, regelmäßige Updates und Backup-Strategien. Mit klaren Checklisten und Schritt-für-Schritt-Anleitungen für WhatsApp, Online-Shopping und Mobile-Banking – direkt per E-Mail. Schützen Sie Ihr Konto, bevor Kriminelle zuschlagen. Jetzt Android-Sicherheitspaket gratis herunterladen

Auch Privatpersonen geraten massiv ins Visier. Das Phishing-Radar registrierte gestern eine Flut von Betrugsmails im Namen deutscher Banken:

• Deutsche Bank: “Bestätigung der Telefonnummer erforderlich”
• Volksbank/Sparkasse: “S-ID-Check notwendig”
• Gemeinsamer Trick: QR-Code scannen gegen vermeintliche Sicherheitslücken

Wer den Code mit dem Smartphone scannt, umgeht die Sicherheitssoftware des Desktop-PCs. Die Opfer landen auf für Mobilgeräte optimierten Phishing-Seiten.

KI im Dienst der Betrüger

Die Künstliche Intelligenz treibt die Bedrohung auf ein neues Niveau. Sicherheitsanalysten von Barracuda Networks identifizierten einen alarmierenden Trend: Etwa 10 Prozent aller Phishing-Versuche tarnen sich mittlerweile als interne HR-Abteilung.

Besonders perfide arbeitet die KI mit emotionalem Druck. Gefälschte Kündigungsandrohungen oder Bonus-Versprechungen fordern sofortiges Handeln. Die Hemmschwelle sinkt – und die Opfer klicken.

Deepfake-Betrug erreicht dramatische Dimensionen. Allein im ersten Quartal 2025 beliefen sich die Schäden auf über 200 Millionen US-Dollar. Die Technik benötigt nur noch wenige Sekunden Audiomaterial aus Social-Media-Videos, um Stimmen täuschend echt zu klonen.

Der klassische Enkeltrick mutiert zum “Enkeltrick 2.0”: Besorgte Angehörige hören authentisch klingende Hilferufe – und überweisen.

Gefahr im öffentlichen Raum

Während digitale Angriffe dominieren, bleibt auch der physische Betrug akut. Polizei und ADAC warnen vor überklebten QR-Codes an Parkscheinautomaten und E-Ladesäulen.

Die Masche ist simpel und effektiv: Kriminelle überkleben legitime Codes von EasyPark oder Stadtwerken mit eigenen Stickern. Autofahrer landen auf gefälschten Zahlungsseiten, die professioneller wirken als die Originale. Logos von Visa, Mastercard oder PayPal suggerieren falsche Sicherheit.

Kann man überklebte Codes überhaupt erkennen? Ja – durch Abtasten. Aufkleber lassen sich haptisch erfühlen.

Warum gerade jetzt?

Die Konvergenz von KI-Technologie und QR-Code-Verbreitung schafft perfekte Bedingungen für Cyberkriminelle. In der Black-Week-Woche erwarten Verbraucher Bestellbestätigungen, Paketverfolgung und Rabattcodes. Die Hemmschwelle sinkt drastisch.

Ein Wendepunkt: Die Demokratisierung von KI-Tools ermöglicht nun auch technisch weniger versierten Kriminellen hochkomplexe Angriffe. “Phishing-as-a-Service” macht Betrug skalierbar.

Früher verrieten Rechtschreibfehler die Betrüger. Heute sind Phishing-Mails linguistisch perfekt. Nutzer müssen technische Indikatoren wie Absenderadressen viel stärker gewichten als den Nachrichteninhalt.

Was kommt als Nächstes?

Experten prognostizieren für 2026 eine weitere Eskalation durch “Agentic AI”. Diese autonomen KI-Bots führen eigenständig komplexe Angriffsketten aus – vom Ausspähen in sozialen Netzwerken bis zur Erstellung maßgeschneiderter Deepfake-Videos für Erpressung.

Kurzfristig droht eine Welle gefälschter Paketbenachrichtigungen. Viele Logistikdienstleister nutzen mittlerweile QR-Codes zur Abholung. Das nächste große Einfallstor für Quishing-Kampagnen.

Die Behörden fordern schnelle technische Gegenmaßnahmen: QR-Code-Scanner in Sicherheits-Apps sollten die Ziel-URL prüfen, bevor der Browser öffnet. Bis dahin bleibt gesundes Misstrauen der beste Schutz.

Die goldene Regel: Unaufgefordert zugesandte QR-Codes niemals scannen. Lieber die offizielle App direkt über den Store öffnen oder die Bank-Hotline anrufen. Die paar Minuten Zeitverlust sind allemal besser als geleerte Konten.

PS: Schützen Sie Ihr Smartphone gezielt gegen Quishing und überklebte Zahlungs‑QR-Codes an Parkscheinautomaten oder Ladesäulen. Das Gratis-Sicherheits-Paket fasst die fünf wirkungsvollsten Maßnahmen zusammen – von geprüften QR-Scannern, sicheren Browsereinstellungen bis hin zu einfachen Verhaltensregeln beim Bezahlen unterwegs. Enthalten sind praktische Checklisten und Empfehlungen für sichere Apps, damit Sie entspannt online shoppen oder bargeldlos zahlen können. Jetzt Android-Schutzpaket gratis anfordern