Quishing: Die neue Betrugsmasche mit QR-Codes

In einer Zeit, in der digitale Sicherheit immer wichtiger wird, haben Betrüger eine neue Masche entwickelt, um an persönliche Daten und Geld zu gelangen: Quishing. Das Wort setzt sich aus „QR-Code“ und „“ zusammen und beschreibt eine Methode, bei der Cyberkriminelle manipulierte QR-Codes verwenden, um ahnungslose Opfer auf gefälschte Webseiten zu leiten.

Wie funktioniert Quishing?

Quishing funktioniert ähnlich wie klassisches Phishing, nutzt jedoch statt Links in E-Mails oder SMS QR-Codes. Diese QR-Codes können auf verschiedenste Weisen in den Alltag integriert werden: Sie tauchen in vermeintlich offiziellen Schreiben von Banken auf, kleben an Ladesäulen für Elektroautos oder befinden sich auf angeblichen Strafzetteln. Der Trick: Beim Scannen des QR-Codes werden die Nutzer auf eine gefälschte Website geleitet, die täuschend echt aussieht und oft die Eingabe von Login-Daten, Kreditkartendetails oder anderen sensiblen Informationen fordert.

Betrüger nutzen dabei die Tatsache aus, dass QR-Codes von vielen Menschen als praktisch und vertrauenswürdig angesehen werden. Anders als bei Phishing-Links, die oft verdächtig wirken, erwecken QR-Codes weniger Misstrauen. Dieses Vertrauen machen sich die Betrüger zunutze, indem sie die QR-Codes an Orten platzieren, die plausibel erscheinen, etwa auf Briefen, die scheinbar von seriösen Institutionen stammen.

Gefahren und Vorgehensweisen der Betrüger

Ein besonderes Risiko beim Quishing ist, dass herkömmliche Sicherheitsmaßnahmen oft versagen. Viele Antivirensoftware und E-Mail-Filter erkennen QR-Codes lediglich als Bild und durchsuchen diese nicht nach verdächtigen Links. Dadurch gelangen solche QR-Codes ungehindert in die Postfächer der Nutzer.

Die Betrugsmaschen sind vielfältig: In einigen Fällen erhalten die Opfer Briefe, die angeblich von ihrer Bank stammen und zur Aktualisierung der Sicherheitsprotokolle auffordern. Der QR-Code führt jedoch zu einer gefälschten Website, auf der die Nutzer ihre Zugangsdaten eingeben sollen. In anderen Szenarien werden QR-Codes an Ladesäulen für E-Autos angebracht, um Kreditkartendaten der Nutzer abzufangen, die über den QR-Code bezahlen wollen.

Schutzmaßnahmen gegen Quishing

Um sich vor Quishing zu schützen, sollten einige Vorsichtsmaßnahmen beachtet werden:

  1. QR-Codes mit Bedacht scannen: Scanne QR-Codes nur, wenn du sicher bist, dass sie aus einer vertrauenswürdigen Quelle stammen. Vermeide es, QR-Codes von verdächtigen E-Mails oder Briefen zu scannen, besonders wenn diese allgemeine Anreden verwenden oder ungewöhnliche Formulierungen enthalten.
  2. Linkvorschau nutzen: Stelle sicher, dass die App zum Scannen von QR-Codes so eingestellt ist, dass sie den hinterlegten Link anzeigt, bevor dieser geöffnet wird. Prüfe die URL sorgfältig, um sicherzustellen, dass sie zu der erwarteten Website gehört.
  3. Multi-Faktor-Authentifizierung: Nutze, wo immer möglich, eine Multi-Faktor-Authentifizierung für deine Online-Accounts. Selbst wenn Kriminelle deine Zugangsdaten stehlen, fehlt ihnen der zweite Sicherheitsfaktor.
  4. Regelmäßige Überprüfung: Kontrolliere regelmäßig deine Kontobewegungen und informiere dich bei deiner Bank, wenn dir etwas Ungewöhnliches auffällt. Solltest du auf eine gefälschte Website hereingefallen sein, sperre sofort deine Konten und informiere deine Bank.
  5. Offizielle Kanäle nutzen: Bei Zweifeln solltest du dich immer direkt über offizielle Kanäle an das Unternehmen wenden. Vertraue nicht den Kontaktdaten, die auf verdächtigen Schreiben angegeben sind, sondern recherchiere selbst die richtigen Telefonnummern oder Adressen.

Ausblick zum Quishing

Quishing ist eine perfide Methode, um digitale Sicherheitslücken auszunutzen und Menschen zu schädigen. Da QR-Codes in unserer digitalen Welt allgegenwärtig sind, ist es wichtig, sich der Gefahren bewusst zu sein und vorsichtig mit deren Nutzung umzugehen. Mit den richtigen Vorsichtsmaßnahmen kannst du dich und deine Daten effektiv schützen. Bleibe wachsam und hinterfrage die Quellen von QR-Codes, bevor du sie scannst.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.