Vorsicht vor "Quishing": Gefälschte QR-Codes erkennen und sich effektiv schützen
Kriminelle tarnen ihre Betrugsversuche hinter den schwarz-weißen Mustern, die eigentlich nur das Leben erleichtern sollen. Ob an Parkautomaten, E-Ladesäulen oder in E-Mails: Wer arglos scannt, kann schnell auf gefälschten Seiten landen und persönliche Daten preisgeben.
Was hinter Quishing steckt
Quishing setzt auf die Alltagsvertrautheit von QR-Codes. Laut Check Point handelt es sich dabei um eine Form des Phishings, die QR-Codes geschickt einsetzt, um Nutzer auf schädliche Webseiten zu leiten. Diese Masche lässt sich besonders schwer erkennen, weil QR-Codes meist als Bilder behandelt werden und nicht automatisch von Antivirenprogrammen überprüft werden. Die verbreitete Verwendung von QR-Codes für Menükarten, Zahlungen oder Informationsabruf sorgt dafür, dass Quishing-Angriffe besonders effektiv bleiben.
Alltagsfallen für QR-Code-Nutzer
Gefälschte QR-Codes tauchen in zahlreichen Alltagssituationen auf. In Celle etwa wurden manipulierte QR-Codes auf Parkautomaten angebracht, wodurch ein Fahrzeughalter einen vierstelligen Verlust erlitt, wie die Polizei Niedersachsen meldet. Die Verbraucherzentrale Niedersachsen mahnt, dass QR-Codes auf Ladesäulen überklebt sein können und das Scannen solcher Codes riskant ist. Weitere Fälle umfassen gefälschte Strafzettel mit QR-Codes unter dem Scheibenwischer, betrügerische Briefe und manipulierte Zahlungsaufforderungen so Bild.
Typische Merkmale und Warnsignale
Manipulation lässt sich anhand unterschiedlicher Indikatoren erkennen. So warnt I-Way, überklebte oder beschädigte Codes sowie ungewöhnlich platzierte QR-Codes seien klare Hinweise auf Quishing. Die AXA-Cyberpräventionsservices raten dazu, QR-Codes in E-Mails und Briefen auf fehlendes Branding, ungewöhnliche Platzierung oder fehlende Transparenz zu prüfen. In einem dokumentierten Fall lockte ein vermeintlicher Bankbrief per QR-Code zur Reaktivierung des PhotoTAN-Verfahrens auf eine authentisch wirkende, aber gefälschte Website - mit erheblichen finanziellen Schäden für Betroffene.
Schutzmaßnahmen
Effektive Abwehr erfordert eine Kombination aus technischer Sorgfalt und wachem Verhalten. Die Verbraucherzentrale Niedersachsen empfiehlt, überklebte Codes nicht zu scannen und QR-Scanner in der Kamera-App nur mit URL-Vorschau zu nutzen. Die Deutsche Bank betont, dass der in einem QR-Code verborgene Link häufig unüberprüft gescannt werde - ein Risiko, das sich durch wachsame URL-Kontrolle und Software-Updates reduzieren lasse. Die Deutsche Presse-Agentur weist ebenfalls auf Zwei-Faktor-Authentifizierung hin, so bekommen Betrüger nicht unbemerkt Zugriff auf Konten und Zahlungsaufforderungen bzw. automatische Abbuchungen werden zusätzlich durch Verifizierungsanfragen der Online-Banking-Dienste erschwert.
Redaktion finanzen.net
Bildquelle: Marko Aliaksandr / Shutterstock.com