So schützen sich Verbraucher:innen vor betrügerischen QR-Codes

QR-Codes erleichtern uns den Alltag in vielen Bereichen: Beim Scannen von Speisekarten, beim Abrufen von Informationen, beim Einchecken am Flughafen oder beim Bezahlen. Doch was als praktische Lösung begann, birgt auch Risiken. Mit dem sogenannten Quishing setzen Betrüger:innen auf gefälschte QR-Codes, um Nutzer:innen auf betrügerische Websites zu locken oder Schadsoftware zu verbreiten.

Wie funktioniert Quishing?

Ein offiziell aussehender Brief einer Bank weist auf ein dringendes Update hin und enthält einen QR-Code zur schnellen Anmeldung. Wird dieser Code gescannt, öffnet sich eine täuschend echt aussehende Website. Nach Eingabe der Anmeldedaten erhalten die Betrüger:innen Zugriff auf das Konto. Das ist Quishing – eine sprachliche Kombination aus „QR-Code“ und „Phishing“.

Während beim klassischen Phishing verdächtige Links in E-Mails oder SMS verwendet werden, ersetzen Betrüger:innen diese beim Quishing durch QR-Codes. Diese unscheinbaren Muster leiten unbemerkt auf gefälschte Websites oder veranlassen den automatischen Download von Schadsoftware. Das Problem dabei: Viele Sicherheitsprogramme überprüfen zwar die Inhalte von URLs und Links, erkennen jedoch den hinter einem QR-Code verborgenen Link oft nicht automatisch. Dadurch bleibt die tatsächliche Bedrohung verborgen.

Warum ist Quishing gefährlich?

Quishing nutzt das Vertrauen der Nutzer:innen in QR-Codes, um sie auf betrügerische Websites zu locken. Beim Scannen ist nicht direkt erkennbar, wohin der Code führt – eine Schwäche, die von Betrüger:innen gezielt ausgenutzt wird. QR-Codes lassen sich zudem leicht auf verschiedenen Oberflächen platzieren – auf Flyern, in E-Mails, auf Plakaten und sogar in vermeintlich offiziellen Schreiben von Finanzinstituten oder Mobilfunkanbietern. Diese Masche spricht somit auch Zielgruppen an, die klassischen Phishing-Mails gegenüber skeptischer sind.

Ein Beispiel: In Baden-Baden und Landau wurden Parkautomaten mit betrügerischen QR-Codes überklebt, die Nutzer:innen auf gefälschte Zahlungsseiten führten. Derartige Angriffe zielen darauf ab, möglichst viele sensible Informationen abzugreifen – wie Onlinebanking-Logins, Kreditkartendaten oder Passwörter. Mit diesen Daten können Betrüger:innen unberechtigte Transaktionen ausführen, Zahlungslimits erhöhen oder die vollständige Kontrolle über Konten übernehmen.

Ein zusätzliches Risiko besteht in sogenannten „Drive-by-Downloads“: Beim Scannen schadhafter QR-Codes kann automatisch Schadsoftware heruntergeladen werden, ohne dass Nutzer:innen dies aktiv genehmigen. Dadurch können Betrüger:innen die Kontrolle über das Smartphone oder den Computer erlangen und für betrügerische Transaktionen nutzen.

Wie schütze ich mich vor Quishing?

Um sich vor Quishing-Angriffen zu schützen, sollten Verbraucher:innen besonders vorsichtig beim Scannen von QR-Codes sein. Die folgenden Tipps sollte man daher beachten.

• URL vor dem Öffnen prüfen: Viele QR-Code-Scanner zeigen die Zieladresse an, bevor die Website geladen wird. Verbraucher:innen sollten diese URL genau überprüfen und mit der offiziellen Adresse der Institution vergleichen.

• Misstrauisch bei Dringlichkeitswarnungen sein: Briefe oder Nachrichten, die Empfänger:innen unter Druck setzen und negative Konsequenzen androhen („Ihr Konto wird gesperrt, wenn Sie nicht sofort…“) sollten stets kritisch hinterfragt werden.

• Verträge überprüfen: Bei einer Aufforderung zur Eingabe von Vertragsdaten sollten Verbraucher:innen zuerst prüfen, ob sie überhaupt eine Geschäftsbeziehung mit der jeweiligen Institution haben. Sie sollten sich nicht von vermeintlich offiziellen Schreiben täuschen lassen.

• Nur offizielle Kanäle nutzen: Bei Unsicherheiten lieber über bekannte Kanäle wie die offizielle Website oder Hotline der Bank nachfragen – niemals QR-Codes aus verdächtigen Nachrichten scannen.

• Vorsicht bei QR-Codes aus unbekannten Quellen: QR-Codes aus öffentlichen Bereichen, E-Mails oder verdächtigen Briefen lieber ignorieren, wenn die Herkunft nicht eindeutig vertrauenswürdig ist.

• Sicherheitstechnologien auf allen Geräten nutzen: Das Installieren von Schadsoftware-Erkennung auf allen Geräten (Desktop, Handy, Tablet) sorgt für eine höhere Sicherheit. Die Software sollte dafür stets aktualisiert werden und auch in der Lage sein, QR-Codes zu analysieren.

• Regelmäßige Updates durchführen: Antivirus-Programme und Betriebssysteme sollten auf dem neuesten Stand gehalten werden, um gegen aktuelle Bedrohungen gewappnet zu sein.

Was tun, wenn ich betroffen bin?

Falls versehentlich ein betrügerischer QR-Code gescannt und sensible Daten eingegeben wurden, ist schnelles Handeln gefragt:

• Die Bank umgehend informieren und betroffene Karten sofort sperren lassen. 

• Den zentralen Sperrnotruf 116 116 nutzen, um Kreditkarten und Konten schnell und weltweit zu sperren.

• Onlinebanking-Limit vorübergehend auf null setzen, bis der Vorfall geklärt ist.

• Kontoauszüge regelmäßig überprüfen, um ungewöhnliche Aktivitäten sofort zu erkennen.

• Antivirensoftware aktualisieren und das betroffene Gerät vollständig überprüfen lassen.