„Quishing“: Betrug durch manipulierte QR-Codes

R+V-Infocenter: Einfache Vorsichtsmaßnahmen einhalten

KI-generiertes Bild mit MidJourney

Wiesbaden, 20. März 2025. Kurz mit dem Smartphone scannen, und schon gelangt man zu einer Webseite oder Anwendung: QR-Codes sind bequem – doch genau das machen sich auch Kriminelle zunutze. Denn hinter den vermeintlich harmlosen Codes können sich gefälschte Webseiten oder Schadsoftware verbergen, warnt das Infocenter der R+V-Versicherung.

Cyberkriminelle setzen vermehrt auf sogenannte Quishing-Angriffe, eine Kombination aus „QR-Code“ und „Phishing“. Dabei haben sie es auf Bankdaten, E-Mail-Konten, Passwörter, Geldzahlungen oder andere vertrauliche Daten abgesehen. Die QR-Codes wirken auf den ersten Blick unverdächtig. Doch wer sie scannt, kann auf einer täuschend echten Fake-Webseite landen oder sich unbemerkt eine Schadstoffsoftware auf sein Smartphone laden. „Häufig sind die gefälschten Seiten kaum von den echten zu unterscheiden“, sagt Mirko Saam, Informationssicherheitsbeauftragter der der R+V Versicherung. Deshalb schöpfen viele Betroffene keinen Verdacht – sie geben sensible Daten weiter oder veranlassen Zahlungen.

Wo lauern die Gefahren?
Die manipulierten Codes werden von Kriminellen sowohl digital als auch auf gedruckten Materialien platziert. Dabei nutzen sie verschiedene Methoden. „Die Betrüger verschicken vermeintlich offizielle Briefe oder E-Mails. Darin fordern sie zum Beispiel dazu auf, über den QR-Code Daten zu aktualisieren oder Zahlungen zu tätigen“, erklärt Saam. Auch auf Plakaten, Flyern oder Broschüren locken manipulierte QR-Codes in die Falle: Zum Beispiel, indem sie Zugang zu besonderen Angeboten versprechen. Hinzu kommen falsche QR-Codes an Bushaltestellen, auf Ladesäulen oder Parkautomaten. Sie vermitteln den Eindruck, dass die Parkgebühr auch online bezahlt werden kann.

Betrügerische QR-Codes erkennen
Um sich vor Quishing zu schützen, helfen ein paar einfache Vorsichtsmaßnahmen. „Am wichtigsten ist es, den QR-Code zu überprüfen. Wurde er zum Beispiel aufgeklebt, wie es bei einem Parkscheinautomaten vorkommen kann? Dann sollte man ihn auf keinen Fall nutzen“, rät Saam. Der sichere Weg ist immer die Barzahlung oder eine Park-App, die zuvor aus einer sicheren Quelle heruntergeladen wurde.

Seriöse Absender wie Behörden, Banken oder Händler fordern niemals sensible Daten über E-Mail oder SMS an. Briefe und Nachrichten von Kriminellen sind zudem oft sehr fordernd, allgemein und ohne persönliche Anrede verfasst. „Im Zweifelsfall gilt die Grundregel: Erst den Absender kontaktieren, dann den QR-Code scannen“, sagt der R+V-Informationssicherheitsbeauftragte. Scanner-Apps zeigen die URL vor dem Öffnen an – und warnen bei Bedarf. Zudem lässt sich das Smartphone so einstellen, dass ein Link vor dem Öffnen erst einmal angezeigt wird. So kann man die URL zunächst auf Echtheit prüfen.

Weitere Tipps des R+V-Infocenters:
– Wenn man auf dem Smartphone lange auf einen Link drücken, wird die echte Zieladresse angezeigt und kann überprüft werden.
– QR-Codes, die mit einer E-Mail verschickt werden, erkennt ein Anti-Viren-Programm in der Regel nicht: Sie wird nur als Bild erkannt und nicht als Sicherheitsrisiko.
– Im Ausland und auf Reisen sollten QR-Codes besonders sorgfältig überprüft werden.

Das R+V-Infocenter wurde 1989 als Initiative der R+V Versicherung in Wiesbaden gegründet. Es informiert regelmäßig über Service- und Verbraucherthemen. Das thematische Spektrum ist breit: Sicherheit im Haus, im Straßenverkehr und auf Reisen, Schutz vor Unfällen und Betrug, Recht im Alltag und Gesundheitsvorsorge. Dazu nutzt das R+V-Infocenter das vielfältige Know-how der R+V-Fachleute und wertet Statistiken und Trends aus. Zusätzlich führt das R+V-Infocenter eigene Untersuchungen durch: Die repräsentative Langzeitstudie über die „Ängste der Deutschen“ ermittelt beispielsweise bereits seit 1992 jährlich, welche wirtschaftlichen, politischen und persönlichen Themen den Menschen am meisten Sorgen bereiten.

Firmenkontakt
Infocenter der R+V Versicherung
Gesa Fritz
Raiffeisenplatz 1
65189 Wiesbaden
0611 533-52284
http://www.infocenter.ruv.de

Pressekontakt
Infocenter der R+V Versicherung c/o Arts & Others
Anja Kassubek
Daimlerstraße 12
61352 Bad Homburg
06172/9022-131
http://www.infocenter.ruv.de