Gefälschte QR-Codes: So schützen Sie sich vor dem Betrug
Betrugsmasche "Quishing":Abzocke mit QR-Codes: So schützen Sie sich
von Silas Thelen
|
Manipulierte QR-Codes sollen Verbraucher beim "Quishing" um Geld oder Daten bringen. Täter überkleben dafür QR-Codes zum Bezahlen oder fälschen Bankbriefe. So schützen Sie sich.
Ein Scan genügt: Immer öfter betrügen Kriminelle mit Hilfe falscher QR-Codes.20.02.2025 | 2:37 min
QR-Codes sind in vielen Bereichen des Alltags praktische Helfer: Ob im öffentlichen Nahverkehr, beim Online-Banking oder an Parkautomaten - ein schneller Scan genügt, um eine Webseite aufzurufen, eine Zahlung vorzunehmen oder eine Anmeldung zu bestätigen. Doch genau hier setzen Betrüger an. Immer mehr Fälle von sogenanntem "Quishing" werden bekannt.
Beim "Quishing" - eine Zusammensetzung aus "QR-Code" und "Phishing" - platzieren Kriminelle gefälschte QR-Codes in E-Mails, Briefen oder im öffentlichen Raum, um ahnungslose Nutzer auf betrügerische Webseiten zu locken. Davor warnen die Verbraucherzentralen.
Fast jeder gibt im Netz Daten preis. Wie können sie geschützt werden?29.01.2024 | 28:28 min
"Quishing": Datenklau per Smartphone
Die Gefahr: Scannt man einen gefälschten QR-Code und folgt dem dazugehörigen Link, landet man etwa auf einer gefälschten Banking-Seite, auf der man sich einloggen soll, berichtet das Landeskriminalamt (LKA) Niedersachsen. Opfer würden dann beispielsweise durch verschiedene Prozesse geführt, bis sie ihr echtes Online-Banking freischalteten. Dann haben Betrüger leichtes Spiel. Oft geht es auch um andere persönliche Daten.
Seien sie beim Scannen von QR-Codes aufmerksam: Scannen Sie einen QR-Code nicht, wenn Sie Zweifel haben, dass er seriös ist.
Schalten Sie, wenn möglich, die Funktion für ein sofortiges Öffnen eines gelesenen QR-Codes ab. Einige QR-Code-Scanner zeigen zunächst den Link an - einen Hinweis kann die Endung des Links geben: Liegt die Quelle im Ausland, kann das ein Indiz auf einen schadhaften QR-Code sein (beispielsweise ".ru"). Auch bei Shortlinks ist Vorsicht geboten, da das eigentliche Ziel des Links nicht angezeigt wird.
Sollten Sie einen Brief mit einem zweifelhaften QR-Code und ggf. einer Anmeldungsaufforderung erhalten haben, kontaktieren Sie das Unternehmen oder die Bank. Nutzen Sie dafür nicht die auf dem Brief angegebenen Kontaktmöglichkeiten, sondern recherchieren Sie selbst.
Enthält ein Brief eine allgemeine Anrede ("Sehr geehrte Kontoinhaberin, sehr geehrter Kontoinhaber") wird zur Vorsicht geraten.
Prüfen Sie bei Bezahlvorgängen wie an einer Ladesäule, ob der QR-Code möglicherweise überklebt wurde. Falls das so ist, scannen Sie ihn nicht. Verfügt zum Beispiel eine Ladesäule über ein Display, sollte der Code von dort gescannt werden.
Haben Sie Zweifel, ob ein Strafzettel möglicherweise eine Fälschung ist - etwa, weil Daten (Kennzeichen, Ort des Verstoßes etc.) nicht abgebildet sind, gehen Sie mit dem vermeintlichen Strafzettel zur Polizei, um den Sachverhalt zu klären.
Wenn Sie Opfer eines mutmaßlichen Betrugs geworden sind, wenden Sie sich an die Polizei. Sollten Sie bereits Geld bezahlt haben, informieren Sie Ihre Bank oder kontaktieren Sie den Sperr-Notruf 116116.
Rechtsberater der Verbraucherzentrale Bremen, Parsya Baschiri, im Gespräch.27.02.2025 | 5:33 min
Abzocke an Parkautomaten und Ladesäulen
Dabei setzen Kriminelle da an, wo es häufig schnell gehen muss. Wie die Verbraucherzentrale berichtet, werden manipulierte QR-Codes an Parkautomaten oder Ladesäulen für E-Autos angebracht.
Besonders gefährlich: Kriminelle haben dabei offenbar reale Codes für das Bezahlen des Ladevorgangs überklebt, sodass Menschen nicht auf die echte Bezahlseite des Anbieters geführt werden - sondern in die Hände von Betrügern.
Parkticket ohne Kleingeld? Kein Problem: Häufig lässt sich mit dem Handy zahlen. Bei QR-Codes ist jedoch Vorsicht geboten.
Quelle: dpa | Monika Skolimowska
QR ist das Kürzel für "Quick Response", also "schnelle Antwort". Damit ist gemeint, dass man komplexe Informationen so verkürzt darstellt, dass sie schnell abgerufen werden können. Nach demselben Prinzip funktionieren Barcodes oder Strichcodes.
Mit QR-Codes können Nutzer so zu verschiedenen Inhalten geführt werden. Beispielsweise während der Corona-Pandemie dienten QR-Codes zum Nachweis eines Corona-Tests oder einer Schutzimpfung.
Quelle: Bertelsmann-Stiftung
Betrug in der Bahn oder per falschem Strafzettel
In der Düsseldorfer Rheinbahn brachten Unbekannte ein Plakat für ein Fake-Gewinnspiel an - Teilnehmer sollten per QR-Code ihre Daten preisgeben. Auch gefälschte Strafzettel können zur Falle werden: Denn dass einige Städte das Bezahlen von Strafzetteln per QR-Code anbieten, nutzen auch hier Kriminelle für sich, indem sie falsche Strafzettel mit manipulierten Codes an parkenden Autos anbringen. So geschehen in Berlin, berichten Verbraucherschützer.
Zum Erfolg der Täter ist insgesamt bisher wenig bekannt: Zumindest in Niedersachsen hätten Betroffene den Betrug rechtzeitig bemerkt, so das LKA. Hier gebe es noch keine finanziellen Schäden.
Beim Zahlen per Smartphone wollen künftig auch Europäer verstärkt mitmischen.10.01.2025 | 2:41 min
Betrugsmasche mit Bankbriefen
Das Vertrauen der Opfer versuchten Kriminelle im vergangenen Jahr offenbar auch mit gefälschten Bankbriefen zu gewinnen: Wie das LKA Niedersachsen erklärte, wurden dazu neben der korrekten Empfängeradresse auch die Logos und die korrekte Anschrift des Bankinstituts verwendet.
Dem LKA Niedersachsen liegen demnach vermeintliche Briefe der Targo-Bank, der Deutschen Bank sowie der Commerzbank vor - dabei handelt es sich um Fälschungen.
Diese echten Quishing-Briefe stellte das LKA Niedersachsen ZDFheute zur Verfügung:
Gefälschtes Schreiben der "Commerzbank"
Bisher sind dem LKA Niedersachsen nur die Fälle mit den Namen "Deutsche Bank", "Commerzbank" und "Targo-Bank" gemeldet worden.
Quelle: LKA Niedersachsen
Die Daten für solche Briefsendungen erhalten Täter möglicherweise durch Hackerangriffe oder durch bereits erfolgte Phishing-Aktionen, so das LKA Niedersachsen. Auch die Kombination verschiedener teils illegaler Datenbestände sei denkbar.
Der Artikel wurde erstmals am 30.8.2024 publiziert und am 27.2.2025 aktualisiert.