Datenklau

Betrug mit QR-Codes: So funktioniert Quishing

Stand
Autor/in
Nina Rathfelder
Onlinefassung
Sola Hülsewig

QR-Codes werden oft bedenkenlos gescannt. Dabei kann sie jeder leicht herstellen – auch Kriminelle, die mit ihrer Hilfe sensible Daten abgreifen.

An QR-Codes haben sich viele gewöhnt. Sie sind ja auch so praktisch: Smartphonekamera draufgehalten und schon erscheint die Speisekarte, wir kommen in ein WLAN, bekommen Infos zu einem Produkt oder können uns kontaktlos registrieren. Aber QR-Codes sind einfach nur Links, die überallhin führen können – auch in die Gefahr.

Manipulierte QR-Codes an Parkautomaten

So wurden bundesweit Fälle publik, wo Kriminelle massenhaft an Parkautomaten die QR-Codes für die Parkbezahl-Apps mit gefälschten Dubletten überklebt hatten. Für die Nutzer ist die Fälschung kaum zu erkennen. Wer den Code scannt, landet auf einer täuschend echt aussehenden Seite, wo Login- und Bank-, beziehungsweise Kreditkartendaten eingegeben werden sollen – genau so, wie wir es zum Beispiel aus den Park-Apps gewöhnt sind und deshalb häufig keinen Verdacht schöpfen.

Ab diesem Punkt handelt es sich um klassisches Phishing – die Daten werden von den Betrügern „abgefischt“ und dazu genutzt, auf Konten oder andere sensible Bereiche zuzugreifen.

Was ist Quishing?

Die neue Masche hat bereits einen eigenen Namen: Quishing. Der Begriff setzt sich aus Q für QR-Code und Phishing zusammen. Durch Quishing an einem Parkautomaten hat zum Beispiel eine Frau in Baden-Baden rund 2000 Euro verloren.

Betrug mit QR-Codes an Ladesäulen

Ähnliches Prinzip, andere Anlaufstelle: Auf Ladesäulen für Elektrofahrzeuge in Berlin überklebten Betrüger vor kurzem QR-Codes. Auch hier sind die Autofahrer das Scannen gewöhnt. Statt die Ladekosten zu bezahlen, sollten die Opfer den Betrügern ihre Kontodaten liefern.

Gefälschter QR-Code in Brief von der Bank

Auch die Post als vermeintlich sicherer und seriöser Zustellweg wird von Betrügern mittlerweile genutzt. So erhielten vor kurzem beispielsweise Zehntausende einen Brief von der Commerzbank – angeblich. Aus Sicherheitsgründen müsse man das Photo-Tan Verfahren aktualisieren, hieß es in dem täuschend echt wirkenden Schreiben, auf dem auch ein QR-Code aufgedruckt war. Wer den QR-Code scannt, landet auf einer nachgebauten Fake-Seite. Wer dort seine Daten eingibt, der gibt sie den Betrügern, die dann das Konto übernehmen.

Gefälschte Banken-Website

Auch, wer die Login-Seite seiner Bank googelt, läuft Gefahr, auf einer betrügerischen Doppelgänger-Website zu landen. Diese Fakeseiten verstecken sich sogar teilweise hinter den Anzeigen, die Google prominent oben in den Suchergebnissen anzeigt.

So warnt etwa die C24-Bank ausdrücklich, die Login-Seite für das Online-Banking zu googeln. Stattdessen sollen die Kunden die Seiten-URL händisch eintippen oder sich ein Bookmark setzen. Mittels gefakter Seiten, auf denen die Kunden einen QR-Code scannen sollten, den die Bank als einen Zugangsfaktor für ihre Banking-App nutzt, sind auch hier Verbraucher schon um hohe Beträge gebracht worden.

Die Betrugsmasche ist aus Tätersicht sehr einfach umzusetzen, weil jeder diesen QR-Code generieren kann.

Ständig denken sich die Betrüger neue Quishing-Varianten aus. Abzocke mit QR-Codes ist ein Problem, das inzwischen auch den Landeskriminalämtern Bauchschmerzen bereitet. Bastian Kipping vom Landeskriminalamt Rheinland-Pfalz spricht von einer regelrechten Welle: „Die Betrugsmasche ist aus Tätersicht sehr einfach umzusetzen, weil jeder diesen QR-Code generieren kann. Der Kreativität seitens der Täter sind keine Grenzen gesetzt. Wir gehen auch fest davon aus, dass es da noch weitere Betrugsvarianten geben wird.“

Safer Internet Day Wie Sie sich vor Online-Betrug schützen

Ob bei WhatsApp, PayPal oder beim Online-Banking – Opfer eines Internet- oder Online-Betrugs wird man viel zu schnell. Unsere Ratgeber zum Safer Internet Day helfen weiter.

Guten Morgen RLP SWR1 Rheinland-Pfalz

Phishing durch QR-Codes: Was tun?

Um sich vor Quishing zu schützen sollte man folgende Punkte beachten:
Login-Seiten von Banken niemals googeln – stattdessen die Web-Adresse von Hand in die Browserleiste eingeben und/oder ein Lesezeichen setzen.

  • Immer genau schauen, auf welcher Website man sich befindet – vor allem, bevor irgendwelche Daten eingegeben werden.
  • QR-Code-Scanner oder Kamera-Apps benutzen, die die Adresse anzeigen, die verlinkt ist. Wirkt diese komisch: Nicht anklicken! Apps, wie die für Parkgebühren, nur aus App-Stores laden.
  • Besonders wachsam sein, wenn Bezahldaten gefordert werden.
Stand
Autor/in
Nina Rathfelder
Onlinefassung
Sola Hülsewig