Pressemitteilung von Infocenter der R+V Versicherung

"Quishing": Betrug durch manipulierte QR-Codes

---

---

Wiesbaden, 20. März 2025. Kurz mit dem Smartphone scannen, und schon gelangt man zu einer Webseite oder Anwendung: QR-Codes sind bequem - doch genau das machen sich auch Kriminelle zunutze. Denn hinter den vermeintlich harmlosen Codes können sich gefälschte Webseiten oder Schadsoftware verbergen, warnt das Infocenter der R+V-Versicherung.

Cyberkriminelle setzen vermehrt auf sogenannte Quishing-Angriffe, eine Kombination aus "QR-Code" und "Phishing". Dabei haben sie es auf Bankdaten, E-Mail-Konten, Passwörter, Geldzahlungen oder andere vertrauliche Daten abgesehen. Die QR-Codes wirken auf den ersten Blick unverdächtig. Doch wer sie scannt, kann auf einer täuschend echten Fake-Webseite landen oder sich unbemerkt eine Schadstoffsoftware auf sein Smartphone laden. "Häufig sind die gefälschten Seiten kaum von den echten zu unterscheiden", sagt Mirko Saam, Informationssicherheitsbeauftragter der der R+V Versicherung. Deshalb schöpfen viele Betroffene keinen Verdacht - sie geben sensible Daten weiter oder veranlassen Zahlungen.

Wo lauern die Gefahren?
Die manipulierten Codes werden von Kriminellen sowohl digital als auch auf gedruckten Materialien platziert. Dabei nutzen sie verschiedene Methoden. "Die Betrüger verschicken vermeintlich offizielle Briefe oder E-Mails. Darin fordern sie zum Beispiel dazu auf, über den QR-Code Daten zu aktualisieren oder Zahlungen zu tätigen", erklärt Saam. Auch auf Plakaten, Flyern oder Broschüren locken manipulierte QR-Codes in die Falle: Zum Beispiel, indem sie Zugang zu besonderen Angeboten versprechen. Hinzu kommen falsche QR-Codes an Bushaltestellen, auf Ladesäulen oder Parkautomaten. Sie vermitteln den Eindruck, dass die Parkgebühr auch online bezahlt werden kann.

Betrügerische QR-Codes erkennen
Um sich vor Quishing zu schützen, helfen ein paar einfache Vorsichtsmaßnahmen. "Am wichtigsten ist es, den QR-Code zu überprüfen. Wurde er zum Beispiel aufgeklebt, wie es bei einem Parkscheinautomaten vorkommen kann? Dann sollte man ihn auf keinen Fall nutzen", rät Saam. Der sichere Weg ist immer die Barzahlung oder eine Park-App, die zuvor aus einer sicheren Quelle heruntergeladen wurde.

Seriöse Absender wie Behörden, Banken oder Händler fordern niemals sensible Daten über E-Mail oder SMS an. Briefe und Nachrichten von Kriminellen sind zudem oft sehr fordernd, allgemein und ohne persönliche Anrede verfasst. "Im Zweifelsfall gilt die Grundregel: Erst den Absender kontaktieren, dann den QR-Code scannen", sagt der R+V-Informationssicherheitsbeauftragte. Scanner-Apps zeigen die URL vor dem Öffnen an - und warnen bei Bedarf. Zudem lässt sich das Smartphone so einstellen, dass ein Link vor dem Öffnen erst einmal angezeigt wird. So kann man die URL zunächst auf Echtheit prüfen.

Weitere Tipps des R+V-Infocenters:
- Wenn man auf dem Smartphone lange auf einen Link drücken, wird die echte Zieladresse angezeigt und kann überprüft werden.
- QR-Codes, die mit einer E-Mail verschickt werden, erkennt ein Anti-Viren-Programm in der Regel nicht: Sie wird nur als Bild erkannt und nicht als Sicherheitsrisiko.
- Im Ausland und auf Reisen sollten QR-Codes besonders sorgfältig überprüft werden.

(Die Bildrechte liegen bei dem Verfasser der Mitteilung.) Firmen- & Pressekontakt