Quishing-Welle rollt über Deutschland: Betrug per QR-Code

Cyberkriminelle nutzen QR-Codes für eine neue Betrugsmasche. Die sogenannten “Quishing”-Angriffe breiten sich rasant in Deutschland aus – von gefälschten Bankbriefen bis zu manipulierten Parkautomaten. Besonders perfide: Antivirensoftware erkennt die als harmlose Bilddateien getarnten Codes meist nicht.

Die Täter platzieren manipulierte QR-Codes auf Plakaten, in E-Mails, Briefen und an öffentlichen Orten. Wer die Codes scannt, landet auf täuschend echten Fälschungen bekannter Webseiten. Dort sollen Opfer Passwörter, Zahlungsinformationen oder persönliche Daten eingeben. In manchen Fällen reicht bereits das Scannen, um Schadsoftware herunterzuladen.

QR-Code-Betrug wie „Quishing“ trifft besonders Smartphone-Nutzer – oft reicht ein kurzer Scan, damit Schadsoftware installiert oder Anmeldedaten abgefragt werden. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android-Smartphones: URL‑Vorschau nutzen, App‑Berechtigungen prüfen, automatische Updates aktivieren, sichere Zahlungs-Apps verwenden und verdächtige Aufkleber erkennen. Praxistaugliche Schritt-für-Schritt-Anleitungen helfen, das Gerät ohne Technik-Frust zu schützen. Jetzt das kostenlose Android-Sicherheitspaket anfordern

Warum Quishing so erfolgreich ist:
* QR-Codes gelten durch Corona-Pandemie als alltäglich und vertrauenswürdig
* Sicherheitsfilter prüfen Bildinhalte nicht auf schädliche Links
* Gefälschte Webseiten sind kaum vom Original zu unterscheiden
* Täter erzeugen Zeitdruck für unüberlegte Handlungen

Gefälschte Bankbriefe im Umlauf

Die Verbraucherzentrale warnt vor einer Zunahme manipulierter Schreiben, die angeblich von Banken wie der Commerzbank stammen. Kunden sollen unter dem Vorwand eines Sicherheitsupdates einen QR-Code scannen – der sie direkt auf eine Phishing-Seite führt.

Besonders dreist: Die Betrugsversuche erreichen auch Personen ohne Konto bei der genannten Bank.

Parkautomaten und Ladesäulen im Visier

In mehreren deutschen Städten, darunter Hannover, entdeckten Behörden überklebte QR-Codes an Parkautomaten. Autofahrer in Eile werden auf gefälschte Bezahlseiten geleitet, wo Kreditkartendaten abgegriffen werden.

Ähnliche Vorfälle melden Polizeistellen von:
* Ladesäulen für Elektroautos
* Gefälschten Plakaten in Bussen und Bahnen
* Fake-Gewinnspielen für Deutschlandtickets

PayPal-Falle auf Kleinanzeigen-Portalen

Online-Marktplätze werden zum bevorzugten Jagdrevier der Quishing-Angreifer. Die Verbraucherzentrale Brandenburg berichtet von einem besonders dreisten Fall: Ein Verkäufer auf einer Secondhand-Plattform erhielt einen QR-Code zur angeblichen Zahlungsabwicklung. Nach dem Scan und Login auf einer gefälschten PayPal-Seite waren über 3.000 Euro weg.

Die Polizei warnt vor Nachahmungen der “Sicher bezahlen”-Funktion auf Kleinanzeigen-Portalen. Nutzer werden über Links auf betrügerische Seiten gelockt, um ihre Bankdaten preiszugeben.

So schützen Sie sich

Vor dem Scannen prüfen: Stammt der QR-Code aus vertrauenswürdiger Quelle? Bei Aufklebern an öffentlichen Automaten besonders misstrauisch sein – oft überkleben Täter originale Codes.

URL-Vorschau nutzen: Viele Smartphone-Kameras und Scanner-Apps zeigen die Ziel-URL vor dem Öffnen an. Prüfen Sie diese genau auf Abweichungen.

Niemals sensible Daten eingeben: Passwörter oder Bankinformationen gehören nicht auf Webseiten, die über QR-Codes aufgerufen wurden. Nutzen Sie stattdessen offizielle Apps oder tippen Sie Webadressen manuell ein.

Im Ernstfall schnell handeln: Sofort Passwörter ändern, Bank informieren und Anzeige bei der Polizei erstatten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft Phishing als eine der häufigsten Cyberbedrohungen für Verbraucher ein. Experten rechnen mit weiter steigenden Quishing-Attacken – die Angriffe werden zunehmend professioneller.