01.02.2025

Quishing – so gehen die Täter vor

Wie kann man dem QR-Code-Betrug begegnen?

Foto: Datenschutzexperten
Symbolbild   Foto: Datenschutzexperten

Seit der Corona-Pandemie sind QR-Codes aus dem Verbraucheralltag nicht mehr wegzudenken. Das haben auch Kriminelle erkannt, die mit gefälschten QR-Codes und Webseiten versuchen, schnelles Geld zu machen.

Aufpassen müssen insbesondere Autofahrerinnen und Autofahrer. Denn der Betrug (auch Quishing genannt) findet meist an Ladesäulen für Elektroautos oder an Parkautomaten statt.

In einem ersten Schritt erstellen die Kriminellen eine Internetseite, die einer offiziellen Seite zum Beispiel einer Stadt oder eines Ladesäulenbetreibers ähnelt. Im zweiten Schritt präparieren die Betrüger einen QR-Code, der auf die gefälschte Seite verlinkt. Den ausgedruckten QR-Code bringen sie dann an öffentlichen Parkuhren, Ladesäulen für Elektroautos etc. an oder überkleben die echten QR-Codes. Verbraucherinnen und Verbraucher, die nun den QR-Code scannen und ihre persönlichen Daten eingeben, um beispielsweise eine Rechnung zu begleichen, zahlen das Geld direkt an die Betrüger beziehungsweise geben ihre Daten direkt an diese weiter.

Quishing ist vor allem im öffentlichen Raum anzutreffen. Dort, wo QR-Codes bereits vorhanden sind, um einen Vorgang zu erleichtern, damit Verbraucher zum Beispiel eine Gebühr einfach bezahlen können, also an Parkuhren, E-Ladesäulen, an Bahnhöfen, Bushaltestellen, Fahrradverleihstationen oder über gefälschte Strafzettel an der Windschutzscheibe. Die Betrugsversuche wurden bereits europaweit gemeldet – Urlauber können ihnen also in jedem Land begegnen.

Bei öffentlichen QR-Codes sollte man immer skeptisch sein: QR-Codes auf Flyern, Plakaten oder anderen öffentlichen Orten können leicht manipuliert oder ausgetauscht werden. Scannen also nur, wenn man der Quelle vertrauen kann. Wenn möglich, ist die direkte Eingabe der URL anstelle eines QR-Codes eine Alternative.

Viele QR-Scanner-Apps zeigen die URL vor dem Öffnen an. Diese sollte sorgfältig kontrolliert und auf verdächtige Domains oder Rechtschreibfehler geachtet werden.

Im Zweifel nicht interagieren und die Website schließen. Ist man unsicher, auf keinen Fall persönliche Daten oder Bankinformationen eingeben.

Sollte es zu einer verdächtigen Transaktion gekommen sein, die Kreditkarte umgehend sperren lassen, bei der Bank ein Chargeback beantragen und die Polizei sowie den Betreiber informieren.

Gerd Demitz

Nach oben scrollen