Vorsicht bei QR-Codes: Quishing ist die neue Betrugsmasche

Die Verbraucherzentrale NRW gibt Tipps, wie man sich vor neuen Varianten der Phishing-Tricks schützen kann

Schnell mal einen QR-Code scannen, um eine Speisekarte zu lesen oder mit der Bank zu kommunizieren. Das ist für viele Menschen normal. Doch Vorsicht: QR-Codes können gefälscht sein. Fachleute sprechen von „Quishing“ – eine Zusammensetzung von QR-Code und Phishing, dem Fischen nach Passworten. Besonders perfide: Kriminelle kombinieren hier digitale Betrugsmaschen mit klassischen Informationswegen. Sie locken mit QR-Codes auf gefälschte Internetseiten, verschicken falsche Bank-Briefe, überkleben Codes auf E-Ladesäulen und verteilen sogar gefälschte Strafzettel. Ralf Scherfling, Phishing-Experte der Verbraucherzentrale NRW, warnt: „Wir beobachten, dass die Zahl der Betrugsversuche mit QR-Codes zunimmt. Daher sollte man sie nicht unbedacht scannen, sondern mit gesundem Misstrauen vorher immer erst prüfen, wohin sie führen.”  

  •  QR-Codes nur mit Sicherheits-Check scannen
    Häufig ist es so: Scannt man einen QR-Code mit dem Handy, öffnet sich die dahinterliegende Internetseite sofort. Das ist praktisch, aber auch gefährlich. Zum Schutz vor betrügerischen Internetseiten sollte man einen QR-Code nur dann scannen, wenn klar ist, wohin er führt. Das Smartphone sollte also nicht so eingestellt sein, dass ein im QR-Code verborgener Link direkt aufgerufen wird. Am besten installiert man eine App, die den Link erst anzeigt und fragt, ob man dieser Seite vertraut. Öffnen sollte man die Seite nur, wenn klar ist, dass sie dem echten Anbieter gehört.
     
  • Auch bei Briefen mit QR-Code misstrauisch sein
    Briefe von der Bank oder Sparkasse wirken seriös, können allerdings gefälscht sein. Wer einen Brief mit einem QR-Code bekommt, abgeschickt vermeintlich vom zuständigen Geldinstitut, sollte die Post genau in Augenschein nehmen. Wenn nicht eindeutig bejaht werden kann, dass der Brief echt ist, sollten Betroffene Kontakt zur wirklichen Bank oder Sparkasse aufnehmen, bei der sie ein Konto haben, und dafür die Rufnummer oder Adresse einer seriösen Internetseite entnehmen. Hilfreich ist auch ein Blick ins elektronische Postfach, ob dort die gleiche Nachricht eingegangen ist. Auf jeden Fall sollte man erst bei absoluter Sicherheit den QR-Code scannen, denn bei einem solchen Quishing-Versuch werden sonst persönliche Bank-Zugangsdaten ergaunert und Konten womöglich leergeräumt.  
     
  • Vorsicht bei Codes an E-Ladesäulen
    Auch Autofahrer:innen haben öfter mit QR-Codes zu tun, beispielsweise beim Laden des E-Autos an einer Ladesäule oder bei einem Strafzettel. Auch hier tummeln sich  Cyberkriminelle. Sie überkleben QR-Codes des echten Anbieters durch einen eigenen, damit die Zahlung direkt an sie geleistet wird. Oder sie geben echten Falschparkern einen falschen Strafzettel, um auf diesem Weg abzukassieren. An Ladesäulen sollte man also erst prüfen, ob ein QR-Code überklebt ist. Falls ja, sollte man diesen keinesfalls zur Zahlung nutzen. Wer bei Strafzetteln nicht sicher ist, ob sie wirklich echt sind, sollte direkt bei der Polizei nachfragen.
     
  • Was Betrugsopfer schnellstmöglich tun sollten
    Wer Opfer von Quishing oder anderen Varianten der Cyberkriminalität geworden ist, sollte sich umgehend an die Polizei wenden und Anzeige erstatten. Wenn Geld abgeflossen ist, sollten Betroffene ebenso rasch ihre Bank informieren oder den Sperr-Notruf 116116 anrufen. Auch wenn die Betrugsmaschen immer ausgefeilter und echter wirken, sind folgende Anzeichen ein Zeichen für Betrugsversuche: Es fehlt die persönliche Anrede, es wird versucht, emotionalen und zeitlichen Druck auszuüben durch Stichworte wie Kündigung, Rechnung, Mahnung, Warnung oder ähnliches, und ein Link soll geöffnet werden.
     

Weiterführende Infos und Links:

Quelle: Verbraucherzentrale NRW
Internet: www.verbaucherzentrale.nrw