Geschrieben von: Anatol Tsirgiotis
Mal ehrlich, QR-Codes sind genial. Du zückst dein Handy, scannst das kleine Quadrat und schon landest du auf einer Webseite, bezahlst deinen Parkschein oder checkst die Speisekarte. Doch genau diese Leichtigkeit machen sich jetzt Kriminelle zunutze. Mit einer Masche namens „Quishing“, einer Mischung aus QR-Code und Phishing, verlagern sie ihre Internet-Fallen mitten in den analogen Alltag. Und das kann dich am Ende richtig Geld kosten.
Sieht harmlos aus, ist es aber oft nicht. Manipulierte Codes lotsen dich gezielt auf nachgebaute Webseiten, um deine Bankverbindung oder andere sensible Informationen auszuspähen.
- Falsche Codes an Parkautomaten, in Bussen und im Briefkasten.
- Betrüger wollen Kontozugänge und Kreditkartendaten abgreifen.
- Sei misstrauisch, prüfe den Link vor dem Klick und scanne im Zweifel nie.
Vom Parkschein bis zur Post
Das Prinzip ist erschreckend simpel und gerade deshalb so wirksam. Statt dir „nur“ verdächtige E-Mails zu schicken wie es beim Phishing der Fall ist, gehen sie einen Schritt weiter. Sie kleben manipulierte QR-Code-Aufkleber über die echten Codes an Parkautomaten oder Ladesäulen für E-Autos.
Sie hängen gefälschte Plakate in der Straßenbahn auf oder werfen dir sogar scheinbar offizielle Briefe in den Postkasten. Ein kurzer Scan genügt, und schon wirst du auf eine professionell nachgebaute Webseite gelotst. Dort sollst du deine persönlichen Daten, Passwörter oder Kreditkarteninformationen eingeben, die direkt in den Händen der Betrüger landen.
Gratis-Deutschlandticket im Bus? Vorsicht, Falle!
Stell dir vor, du sitzt in der Bahn und siehst ein Plakat: „Wir verlosen 10.000 Deutschlandtickets! Jetzt QR-Code scannen und ein Jahr kostenlos fahren!“ Ein verlockendes Angebot, oder? Doch hinter solchen Aktionen steckt selten das Kreativteam des regionalen ÖPNV.
Die Plakate sind manchmal schlecht gemacht, etwa aus zwei A4-Seiten zusammengeklebt und kann definitiv als eine Art von Fake-Werbung gewertet werden. Wer den Code scannt, landet auf einer Datensammel-Seite. Dein Name, deine Adresse, deine Telefonnummer, all das ist für die Täter bares Geld wert und kann für Identitätsdiebstahl missbraucht werden.
Post von der Bank: Wenn der Code direkt zur Phishing-Seite führt
Besonders hinterhältig wird es, wenn der Betrugsversuch per Post kommt und offiziell aussieht. Ein Brief mit dem Logo deiner Bank fordert dich auf, ein neues Sicherheitsverfahren zu aktivieren. Was du tun musst? Den QR-Code scannen, natürlich.
Die Anrede ist oft unpersönlich („Sehr geehrte Kontoinhaberin“), aber im Alltagsstress fällt das kaum auf. Der Code führt dich dann auf eine gefälschte Online-Banking-Seite. Gibst du hier deine Zugangsdaten ein, haben die Betrüger vollen Zugriff auf dein Konto und können dies im schlimmsten Fall direkt leerräumen.
Gefahr an Ladesäule und Parkautomat
Ein weiteres Szenario: Du bist in Eile, willst nur schnell dein E-Auto laden oder ein Parkticket lösen. Du scannst den QR-Code am Automaten, tippst deine Kreditkartendaten ein und fertig. Denkste. Genau diese Routine-Handlungen sind ein gefundenes Fressen für Quishing-Betrüger.
Ein schnell aufgeklebter Sticker über dem Original-Code genügt, um dich auf eine Fake-Bezahlseite zu leiten. Oft erkennst du die Fälschung nur an Kleinigkeiten, wie fehlenden Umlauten (ae statt ä) auf der Webseite.
Augen auf beim Scannen: So schützt du dich und dein Geld
Bevor du jetzt dein Smartphone direkt in den Müll werfen möchtest lies lieber weiter, denn mit ein paar einfachen Tricks kannst du dich effektiv schützen. Der wichtigste Grundsatz lautet: Sei misstrauisch. Scanne nicht blind jeden Code, der dir vor die Linse kommt. Moderne Handy-Kameras zeigen dir meist den Link an, bevor die Seite geöffnet wird. Schau ihn dir genau an!
Eine Adresse wie commerzbank.de-sicherheit.com gehört also nicht der Commerzbank. Der entscheidende Teil, also die echte Domain, steht immer direkt vor der Endung wie .de oder .com. Fühle bei Stickern an Automaten auch ruhig mal nach, ob sie übergeklebt sind.
Die Masche macht selbst vor dem Briefkasten nicht halt. Eine Verbraucherin erhielt täuschend echte Post der Commerzbank mit einem QR-Code für ein dringendes Sicherheitsupdate, wie die Verbraucherzentrale berichtete.
Und denk dran, ein gratis Deutschlandticket, das nur einen Scan entfernt ist? Das ist niemals echt! Scanne den Code im Zweifel nicht, sondern lade die offizielle App des Anbieters aus dem App-Store oder gehe direkt auf die bekannte Webseite.
