Quishing-Welle rollt: Betrüger nutzen QR-Codes für Doppelangriff

Zum Jahresbeginn explodieren Betrugsversuche mit QR-Codes. Verbraucherschützer und Sicherheitsbehörden warnen vor einer massiven Zunahme von “Quishing”-Angriffen. Kriminelle nutzen eine Doppelstrategie: manipulierte Parkautomaten und täuschend echte Verifizierungs-E-Mails.

Digitale Falle: Gefälschte Dringlichkeits-Mails im Umlauf

Seit Ende Dezember rollt eine aggressive Spam-Welle, die auch die ersten Januartage anhält. Besonders im Visier stehen Kunden des Zahlungsdienstleisters SumUp. Die Betrüger versenden E-Mails mit dem Betreff “Dringende regulatorische Kontoverifizierung” und setzen Empfänger unter enormen Zeitdruck.

Die Nachrichten behaupten, aufgrund neuer gesetzlicher Vorgaben zum Jahreswechsel sei eine sofortige Identitätsprüfung nötig. Bei Nichtbeachtung würden Kontofunktionen gesperrt. Statt eines klassischen Links ist ein QR-Code eingebettet – ein perfides Mittel. Herkömmliche E-Mail-Scanner können den dahinterliegenden bösartigen Link in der Bilddatei oft nicht erkennen.

QR‑Code‑Phishing (Quishing) trifft aktuell viele Nutzer — Betrüger verknüpfen gefälschte Verifizierungs‑Mails mit manipulierten QR‑Codes. Das kostenlose Anti‑Phishing‑Paket erklärt in einer klaren 4‑Schritte‑Anleitung, wie Sie Phishing‑Links und Sticker‑Fallen erkennen, welche Prüfungen vor dem Scan nötig sind und wie Sie Kreditkarten‑ und Login‑Daten schützen. Inklusive praktischer Checkliste für Ihr Smartphone und Sofortmaßnahmen, die Sie heute umsetzen können. Anti‑Phishing‑Guide jetzt herunterladen

• Scannt der Nutzer den Code, landet er auf einer perfekt imitierten Webseite.
• Dort eingegebene Login-Daten und persönliche Informationen gehen direkt an die Kriminellen.
• Ähnliche Muster gibt es aktuell auch bei gefälschten Nachrichten großer Banken.

Physische Gefahr: Manipulierte Parkscheinautomaten

Parallel warnt das Landeskriminalamt (LKA) vor einer handfesten Gefahr in deutschen Innenstädten. In Metropolen wie Berlin, Hannover und Köln tauchen vermehrt manipulierte Parkscheinautomaten auf.

Betrüger überkleben die legitimen QR-Codes der Parkraumbetreiber mit eigenen, professionell gestalteten Stickern. Wer seinen Park-Schein digital bezahlen will, landet auf einer Phishing-Plattform. Die Folgen sind doppelt bitter:

• Kreditkartendaten werden abgegriffen.
• Die Parkgebühr erreicht den Betreiber nie – das Risiko für ein Knöllchen bleibt.
• Teilweise werden Nutzer sogar in teure Abo-Fallen gelockt.

Warum die Angriffe so erfolgreich sind

Der massive Anstieg markiert eine Evolution im Cybercrime. Die Nutzung von QR-Codes in Phishing-Kampagnen stieg im Jahresvergleich um über 500 Prozent. Das Kernproblem: Ein QR-Code ist für das menschliche Auge nicht lesbar. Man sieht ihm nicht an, ob er zur echten oder einer gefälschten Seite führt.

Hinzu kommt ein clever ausgenutzter Medienbruch: Der Angriff startet oft per E-Mail am PC, zwingt den Nutzer aber zum Griff zum Smartphone. Mobile Geräte haben häufig weniger strikte Sicherheitssoftware, und die URL-Leiste im Browser ist oft verkürzt. Die nach der Pandemie antrainierte Vertrauensseligkeit gegenüber QR-Codes – von der Speisekarte bis zur Überweisung – spielt den Kriminellen zusätzlich in die Hände.

So schützen Sie sich vor Quishing

Angesichts der akuten Bedrohung geben Behörden konkrete Handlungsempfehlungen.

Im öffentlichen Raum (Parkautomaten, Ladesäulen):
* Machen Sie den “Knibbel-Test”: Fahren Sie mit dem Finger über den QR-Code. Spüren Sie die Ränder eines Aufklebers? Dann ist Vorsicht geboten. Ein originaler code ist meist glatt.
* Nutzen Sie die offizielle App: Bezahlen Sie lieber direkt über die App des Parkraumbetreibers (z.B. EasyPark), die Sie aus dem App Store geladen haben.

Bei E-Mails und digitalen Nachrichten:
* Scannen Sie niemals unter Druck: Seriöse Anbieter fordern nie eine dringende Verifizierung ausschließlich per QR-Code in einer E-Mail.
* Prüfen Sie die Ziel-URL: Moderne QR-Scanner zeigen die Webadresse vor dem Öffnen an. Prüfen Sie genau: Stimmt die Domain? Enthält sie Tippfehler?
* Vermeiden Sie den Medienbruch: Lesen Sie eine verdächtige E-Mail am PC? Loggen Sie sich manuell im Browser in Ihr Kundenkonto ein, anstatt den Code mit dem Handy zu scannen.

Professionelle Betrüger – was 2026 droht

Die aktuellen Vorfälle zeigen eine neue Qualität der organisierten Kriminalität. Die gefälschten Webseiten sind mittlerweile so gut, dass sie selbst für geschulte Augen kaum vom Original zu unterscheiden sind. Dahinter stecken oft “Phishing-as-a-Service”-Baukästen aus dem Darknet.

Experten prognostizieren für 2026 keine Entspannung. Kriminelle könnten dynamische QR-Codes nutzen, die ihre Zieladresse ändern, um Blocklisten zu umgehen. Der Einsatz von KI für personalisierte Phishing-Mails dürfte zunehmen.

Bis technische Schutzmechanismen in Betriebssystemen flächendeckend greifen, bleibt die gesunde Skepsis des Nutzers die wichtigste Verteidigungslinie. Der Jahresstart 2026 macht es deutlich: Der Blick auf das Smartphone muss kritischer werden – immer dann, wenn ein QR-Code im Spiel ist.

PS: Viele Angriffe funktionieren über psychologische Tricks — angebliche Fristen, Druck und glaubwürdig aussehende Seiten. Der kostenlose Report zeigt die aktuell gefährlichsten Taktiken, wie dynamische QR‑Codes und personalisierte Phishing‑Mails, und gibt branchenspezifische Abwehrmaßnahmen. Besonders nützlich für Privatpersonen und kleine Unternehmen: eine umsetzbare 4‑Punkte‑Strategie, die Sie sofort schützt. Kostenloses Anti‑Phishing‑Paket anfordern