Kriminelle nutzen vermehrt QR-Codes, um Verbraucher in die Falle zu locken. Diese Betrugsmasche, bekannt als „Quishing“, zielt darauf ab, persönliche Daten abzugreifen oder unerwünschte Zahlungen zu veranlassen. Die Codes tauchen nicht nur in E-Mails auf, sondern auch an physischen Orten wie Ladesäulen, Parkscheinautomaten und sogar auf gefälschten Strafzetteln.
Wichtige Erkenntnisse
- QR-Codes werden für Betrugsversuche (Quishing) missbraucht.
- Gefälschte Codes erscheinen an vielen Orten, nicht nur digital.
- Prüfen Sie QR-Codes sorgfältig, bevor Sie sie scannen.
- Achten Sie auf ungewöhnliche Formulierungen oder fehlende Umlaute in Adressen.
- Melden Sie Betrugsversuche umgehend der Polizei und Ihrer Bank.
Quishing: Eine neue Dimension des Phishings
QR-Codes sind praktisch. Sie ermöglichen es, mit einem Smartphone schnell auf Webinhalte zuzugreifen oder Informationen zu speichern. Doch genau diese Einfachheit macht sie zu einem attraktiven Ziel für Betrüger. Während einige Smartphones die Zieladresse eines QR-Codes vor dem Öffnen anzeigen, leiten andere direkt weiter. Diese mangelnde Transparenz nutzen Kriminelle aus, um Menschen auf gefälschte Webseiten zu führen.
Der Begriff „Quishing“ kombiniert „QR-Code“ und „Phishing“. Es beschreibt das gezielte Abfischen von Zugangsdaten oder persönlichen Informationen über manipulierte QR-Codes. Diese Methode ist besonders tückisch, da die tatsächliche Destination des Codes für das menschliche Auge nicht sofort erkennbar ist.
Faktencheck QR-Codes
- Ein QR-Code kann eine Internetadresse, Kontaktdaten oder Text enthalten.
- Nicht alle Smartphone-Kameras zeigen die Zieladresse vor dem Öffnen an.
- Spezielle Scanner-Apps können die Adresse vor dem Aufruf anzeigen.
Betrugsversuche per Post und E-Mail
Immer wieder tauchen gefälschte E-Mails mit schädlichen QR-Codes auf. Anfang 2021 wurden erste Fälle bekannt, bei denen Kriminelle Logos bekannter Banken nutzten, um Empfänger zur Erneuerung von Sicherheitsverfahren über einen QR-Code aufzufordern. Obwohl E-Mails mit schädlichen Links häufiger sind, bleibt Quishing ein ernstzunehmendes Problem.
Jüngste Beispiele zeigen, wie Betrüger E-Mails im Namen des ADAC versenden. Sie locken mit angeblichen Dankesgeschenken für Umfrageteilnahmen. Der QR-Code führt jedoch zu einer Seite, die persönliche Daten und Bankverbindungen abfragt. Diese Informationen werden dann für weitere Betrügereien missbraucht.
„In manchen Fällen werden auf diese Weise direkt Geldtransfers veranlasst“, warnt das Landeskriminalamt Nordrhein-Westfalen. Die Gefahr ist also real und kann direkte finanzielle Folgen haben.
Noch perfider sind gefälschte Briefe, die per Post verschickt werden. Mitte September 2025 erhielt eine Verbraucherin aus Velbert einen solchen Brief, angeblich von der Commerzbank. Darin wurde die „Aktualisierung des E-Bankings“ gefordert. Ein ähnlicher Fall ereignete sich bereits Ende August 2024 in München. Die Empfängerin hatte nicht einmal ein Konto bei der Bank, sollte aber ein „photoTAN-Verfahren“ aktualisieren.
Der in diesen Briefen prominent platzierte QR-Code führt auf eine von Kriminellen betriebene Webseite. Dort eingegebene Online-Banking-Zugangsdaten landen direkt in den Händen der Betrüger. Auffällig an solchen Schreiben sind oft unpersönliche Anreden wie „Sehr geehrte Kontoinhaberin, sehr geehrter Kontoinhaber“ und ungewöhnlich umständliche Formulierungen.
So erkennen Sie gefälschte Adressen
Betrüger geben sich viel Mühe, um ihre gefälschten Webseiten echt aussehen zu lassen. Eine typische Täuschung ist die URL: Eine Adresse wie https://commerzbank.de-login.com sieht auf den ersten Blick seriös aus. Doch das Bindestrich vor der Top-Level-Domain .com zeigt, dass es sich um eine Subdomain von de-login.com handelt, nicht um die offizielle Commerzbank-Seite. Eine echte Commerzbank-Adresse würde nach .de einen Schrägstrich (/) oder gar nichts haben.
Gefährliche QR-Codes im öffentlichen Raum
Die Betrüger beschränken sich nicht auf digitale Kanäle. Auch im physischen Raum sind QR-Codes eine Angriffsfläche:
Ladesäulen für E-Autos
Im August 2024 gab es Warnungen vor manipulierten QR-Codes an Ladesäulen für Elektroautos. Diese Codes dienen normalerweise der direkten Bezahlung des Ladevorgangs. Kriminelle überkleben die echten Codes mit ihren eigenen, um Nutzer auf gefälschte Bezahlseiten zu leiten. Der ADAC rät dringend davon ab, überklebte QR-Codes zu scannen. Wenn eine Ladesäule ein Display hat, sollte der Code direkt vom Display gescannt werden. Alternativ können Ladesäulen oft auch mit speziellen Apps oder Ladekarten anderer Anbieter genutzt werden, wodurch das Scannen eines vorhandenen QR-Codes überflüssig wird.
Parkscheinautomaten
Mitte November 2024 warnte das Landeskriminalamt Niedersachsen vor ähnlichen Betrugsversuchen an Parkscheinautomaten in Hannover. Überklebte QR-Codes sollten angeblich zu einer mobilen Bezahlseite von „easy park“ führen. Stattdessen öffnete sich eine gefälschte Seite, die der echten täuschend ähnlich sah. Auffälligkeiten waren hier fehlende Umlaute (z.B. „ae“ statt „ä“) und die Möglichkeit, längere Parkzeiten als zulässig auszuwählen. Diese Masche kann prinzipiell in jeder Stadt mit vergleichbaren Automaten auftreten.
Falsche Strafzettel
In einigen Städten bieten Ordnungsämter oder die Polizei QR-Codes auf Strafzetteln an, um Parkverstöße direkt bezahlen zu können. Kriminelle nutzen dies aus, indem sie gefälschte Strafzettel unter die Scheibenwischer parkender Fahrzeuge klemmen. Berichte hierzu gab es unter anderem aus Berlin. Im Zweifel sollte man mit einem vermeintlichen Strafzettel immer zur Polizei gehen, um die Echtheit zu überprüfen. Eine direkte Zahlung über einen solchen Code ist riskant.
Plakate in Bussen und Bahnen
Die Düsseldorfer Rheinbahn warnte am 10. Dezember 2024 vor gefälschten Plakaten in ihren Fahrzeugen. Unbekannte hatten dort mit dem Rheinbahn-Logo versehene Plakate aufgehängt, die eine Verlosung von Deutschlandtickets versprachen. Um teilzunehmen, sollte ein QR-Code gescannt werden. Dieser führte auf eine betrügerische Webseite, auf der Name, Adresse, E-Mail und Telefonnummer abgefragt wurden. Solche Daten können für Identitätsdiebstahl missbraucht oder verkauft werden. Die Plakate waren oft aus zwei DIN-A4-Seiten zusammengeklebt – ein klares Indiz für eine Fälschung. Bei solchen Entdeckungen sollte man sofort das Fahrpersonal informieren.
Schutz vor Quishing: So bleiben Sie sicher
Der beste Schutz vor Quishing ist Vorsicht und Skepsis. Hier sind die wichtigsten Tipps:
- Seriosität prüfen: Scannen Sie einen QR-Code nur, wenn Sie sich seiner Herkunft und Seriosität sicher sind. Bei unbekannten Quellen ist äußerste Vorsicht geboten.
- Adresse vorab checken: Viele Smartphone-Kameras zeigen die Internetadresse an, bevor sie geöffnet wird. Nutzen Sie diese Funktion. Falls Ihr Gerät das nicht tut, installieren Sie eine vertrauenswürdige QR-Code-Scanner-App, die diese Vorschau ermöglicht. Überprüfen Sie die angezeigte Adresse genau.
- Auf Satzzeichen achten: Eine kleine Abweichung in der URL kann einen großen Unterschied machen.
beispiel.de/unterseiteist echt, währendbeispiel.de-betrug.comauf eine komplett andere, gefälschte Domain führt. - Bei Briefen anrufen: Wenn Sie einen verdächtigen Brief erhalten, rufen Sie den Absender an. Nutzen Sie jedoch nicht die im Brief angegebene Telefonnummer, sondern suchen Sie die offizielle Kontaktnummer auf der seriösen Webseite des Unternehmens oder Ihrer Bank.
- Ladesäulen und Automaten prüfen: Achten Sie an Ladesäulen oder Parkscheinautomaten darauf, ob der QR-Code überklebt wurde. Überklebte Codes sind ein klares Warnsignal und sollten nicht gescannt werden.
- Im Betrugsfall handeln: Sollten Sie trotz aller Vorsichtsmaßnahmen einem Betrug zum Opfer gefallen sein, wenden Sie sich umgehend an die Polizei. Erstatten Sie Anzeige, zum Beispiel über die Online-Wache Ihres Bundeslandes. Wenn Geld abgebucht wurde, informieren Sie sofort Ihre Bank oder rufen Sie den Sperr-Notruf 116116 an.
Diese Maßnahmen helfen Ihnen, sich vor den zunehmend raffinierten Methoden der Betrüger zu schützen und Ihre Daten sowie Ihr Geld sicher zu halten.
