Cyberkriminelle nutzen zunehmend manipulierte QR-Codes, um persönliche Daten zu stehlen oder Schadsoftware auf Smartphones einzuschleusen – eine Methode, die unter dem Begriff „Quishing“ bekannt ist. Dabei werden täuschend echte Webseiten nach dem Scan angezeigt, die zur Eingabe sensibler Daten verleiten. Besonders heimtückisch: Antivirensoftware erkennt die Gefahr oft nicht. Nutzer:innen sollten bei QR-Codes aus unbekannten Quellen, fehlender HTTPS-Verschlüsselung oder ungewöhnlichen URLs besonders vorsichtig sein.
Weitere Informationen gibt es unter www.ergo.de und in der folgenden Pressemitteilung.
Pressemitteilung:
Quishing: Scannen kann gefährlich sein.
Wie Cyberkriminelle QR-Codes für Datendiebstahl nutzen
QR-Codes sind praktisch, schnell und längst alltäglich, ob im Restaurant, bei digitaler Außenwerbung oder auf einem Flyer. Doch was viele nicht wissen: Hinter dem scheinbar harmlosen Quadratmuster kann sich eine neue Betrugsmasche verbergen. „Quishing“ nennt sich die Methode, bei der Cyberkriminelle QR-Codes manipulieren, um an persönliche Daten zu gelangen oder Schadsoftware einzuschleusen. Wie das genau funktioniert und welche Schutz-Maßnahmen helfen, weiß Alina Gedde, Digitalexpertin bei ERGO.
Was ist Quishing?
Phishing E-Mails oder gefälschte Nachrichten, die vermeintlich von der Bank stammen, sind den meisten Menschen inzwischen ein Begriff. Aber: „Seit einiger Zeit kursiert eine neue Betrugsmasche, das sogenannte Quishing“, weiß Alina Gedde, Digitalexpertin bei ERGO. Dabei verwenden Cyberkriminelle gefälschte oder manipulierte QR-Codes, um an sensible, persönliche Daten zu gelangen oder Schadsoftware zu verbreiten. Der Begriff ist ein Kofferwort aus „QR“ (Quick Response Code) und „Phishing“ und beschreibt somit eine Form des Phishing-Angriffs über QR-Codes. „Das perfide am Quishing ist, dass im Gegensatz zu schädlichen Links wie in einer E-Mail, QR-Codes nicht automatisch von Antivirensoftware geprüft werden können“, so die ERGO Expertin.
Wie Quishing funktioniert – und warum es so gefährlich ist
Quishing beginnt immer mit einem scheinbar harmlosen QR-Code. Betrüger platzieren ihn auf Plakaten, in E-Mails, in Briefen oder an öffentlichen Orten. „Wer den Code scannt, gelangt nicht auf eine seriöse Webseite, sondern auf eine täuschend echt gestaltete Fälschung. Dort fordert die Seite zum Eingeben von Passwörtern, Zahlungsinformationen oder persönlichen Angaben auf“, erklärt die Digitalexpertin. „In manchen Fällen startet nach dem Scan sogar sofort ein schädlicher Download, der das Smartphone infiziert.“ Besonders begehrt sind Zugangsdaten zum Online-Banking oder zu E-Mail-Konten, Kreditkarteninformationen, Bankverbindungen oder persönliche Daten wie Name, Adresse, Geburtsdatum oder Telefonnummer. „Gefälschte QR-Codes versprechen zum Beispiel den Zugang zu einer Paketverfolgung, das Abhören einer Sprachnachricht oder schnelles Bezahlen, etwa an einem Parkautomaten“, führt die Expertin aus.
Quishing erkennen
Unerwartete QR-Codes auf Aufklebern, Zetteln oder Plakaten, besonders an ungewöhnlichen Orten oder über bereits vorhandene Codes geklebt, sollten sofort misstrauisch machen. „Auch E-Mails oder SMS mit QR-Codes, die einen fragwürdigen Absender haben oder dringendes Handeln verlangen, gehören zu den typischen Warnzeichen“, erklärt Alina Gedde. Nach dem Scan sind eine fehlende HTTPS-Verschlüsselung oder eine ungewöhnliche Internetadresse mit Tippfehlern oder unbekannten Domains Indizien für einen Betrug. Spätestens dann, wenn eine Webseite direkt nach Passwörtern, Zahlungsinformationen oder persönlichen Daten fragt, besteht akute Gefahr.
Sensible Daten schützen
Am sichersten bleibt der Scan von QR-Codes aus vertrauenswürdigen Quellen wie offiziellen Webseiten oder bekannten Unternehmen. „Viele Scanner bieten eine Vorschau der Zieladresse an. Sieht sie ungewöhnlich aus, sollten Betroffene vorsichtig sein“, so die Digitalexpertin. Vor jeder Eingabe lohnt sich ein genauer Blick auf die Adresse im Browser: Nur eine korrekte Domain mit HTTPS-Verschlüsselung ist vertrauenswürdig. Persönliche Daten wie Logins oder Zahlungsangaben gehören niemals auf Seiten, bei denen Zweifel bestehen. „Wer zusätzlich aktuelle Sicherheitssoftware auf dem Smartphone nutzt und wichtige Webseiten lieber manuell eingibt, reduziert das Risiko deutlich“, rät Alina Gedde.
Richtig reagieren im Verdachtsfall
Taucht beim Scannen ein ungutes Gefühl auf, gilt sofort: stoppen und keine Daten mehr eingeben. „Wer bereits sensible Informationen preisgegeben hat, sollte unverzüglich Passwörter ändern und die Bank oder den betroffenen Dienst informieren. Auch eine Meldung bei Polizei oder Verbraucherzentrale bietet Schutz vor weiterem Schaden“, sagt die Expertin. Im Anschluss lohnt sich ein gründlicher Check des Smartphones, um Schadsoftware oder unerwünschte Apps zu finden und zu entfernen.
