Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Quishing! Vorsicht beim Scannen von QR-Codes

- Meldung

Ob an Ladesäulen, Parkuhren oder auf gefälschten Briefen, generell gilt: Vorsicht beim Scannen von QR-Codes.
Quishing QR-Code scannen mit Handy-Kamera

© Adobe Stock

Falsche QR-Codes im Umlauf

Aktuell häufen sich Fälle, bei denen QR-Codes für Betrugsversuche eingesetzt werden. Zum Beispiel wurden die QR-Codes an Parkuhren, die Ihren Bezahlvorgang eigentlich vereinfachen sollten, mit gefälschten QR-Code-Stickern überklebt. Die Bezahlung landet dann auf einem falschen Konto und Sie bezahlen neben der Parkgebühr, die dann an einen Kriminellen geht, möglicherweise auch noch ein Knöllchen. 

Auch echt wirkende E-Mails oder Briefe von Institutionen, wie z. B. einer Bank oder des Finanzamtes, sind im Umlauf. Dort enthaltene QR-Codes führen dann ebenfalls auf gefälschte Seiten, auf denen Kriminelle die eingegebenen Daten gezielt abschöpfen. 

Die Bezeichnung Quishing ist eine Verbindung der Wörter QR-Code und Phishing.

Quishing als neues Betrugsphänomen

Der Name dieses Phänomens ist Quishing. Quishing bezeichnet dabei eine Phishing-Variante, bei der Kriminelle versuchen, sensible Daten mittels eines QR-Codes zu erbeuten. Die Bezeichnung Quishing ist eine Verbindung der Wörter QR-Code und Phishing.

Da QR-Codes sehr einfach zu generieren sind, muss man mit weiteren Betrugsvarianten der Quishing-Methode rechnen. Die Kriminellen verändern die konkrete Masche immer wieder, daher können gefälschte QR-Codes auch in anderen Zusammenhängen als den hier genannten auftauchen. Eine generelle Vorsicht vor dem Scannen von QR-Codes ist deshalb besonders wichtig. 

So schützen Sie sich gegen Quishing

Die CSBW empfiehlt:

  1. Auch wenn eine E-Mail oder ein Brief zunächst seriös erscheinen, sollten Sie grundsätzlich keine QR-Codes scannen. Auch nicht, wenn eine Dringlichkeit suggeriert wird. Lassen Sie sich davon nicht unter Druck setzen.
  2. Kontaktieren Sie die Behörde oder Bank per Telefon und lassen Sie sich die Echtheit der E-Mail oder des Briefes bestätigen. Die im Brief oder in der E-Mail angegebene Telefonnummer sollten Sie dabei nicht verwenden, da diese ebenfalls gefälscht sein kann. Nutzen Sie sicherheitshalber Ihnen bereits bekannte Kontaktdaten oder schauen Sie auf den offiziellen Kanälen der Institution nach. 
  3. Bei QR-Codes im öffentlichen Raum wie beispielsweise an Parkuhren, Ladesäulen oder anderen Bezahlsystemen, sollten Sie genau hinsehen, ob der QR-Code überklebt wurde. In diesem Fall sollten Sie den QR-Code auf keinen Fall scannen.
  4. Erstatten Sie Anzeige bei Ihrer örtlichen Polizeidienststelle oder über die Onlinewache. Bringen Sie das Schreiben als Original mit zur Anzeigenerstattung. 
  5. Wenn Sie bereits eine Zahlung veranlasst haben, sollten Sie zudem Ihre zuständige Bank informieren.

Weiterführende Informationen