Betrug mit QR-Codes Quishing: So schützen Sie sich
Das Wichtigste in Kürze
- Neue Masche von Cyberkriminellen: Gefälschte QR-Codes
- Seinen Sie vorsichtig bei Codes per Briefpost, Ladesäulen für E-Autos und auf „gefälschten“ Strafzetteln
- Scannen Sie einen QR-Code nur dann, wenn Sie sich sicher sind, dass er echt ist
QR-Code: Was ist das eigentlich?
QR ist die Abkürzung für Quick Response, also "schnelle Antwort". Komplexe Informationen werden so verkürzt dargestellt, sodass Nutzerinnen und Nutzer sie rasch abrufen können. Nach demselben Prinzip funktionieren Barcodes oder Strichcodes.
Quishing ist eine Betrugsmasche, bei der Kriminelle QR-Codes manipulieren, um an sensible Daten wie Kreditkarteninformationen zu gelangen.
Gefälschte Briefe von Banken
Aufforderungen zur Zahlung als Betrugsversuche per E-Mail sind nicht neu – wenn auch selten mit QR-Code. Seit neustem versenden Kriminelle ihren Text mit einem QR-Code ausgedruckt und verschicken ihn per Post.
Seinen Sie vorsichtig, wenn Sie Briefe von Banken erhalten. Bei den gefälschten Schreiben werden Sie oft mit "Sehr geehrte Kontoinhaberin, sehr geehrter Kontoinhaber" angesprochen, nicht aber mit ihrem richtigen Namen.
Mehr Informationen über die Betrugsmasche lesen Sie auf der Seite des LKA Niedersachsen.
Flasche QR-Codes an E-Auto Ladesäulen
Betrüger überkleben die echten QR-Codes mit gefälschten, die auf täuschend echte Webseiten führen. Fahrerinnen und Fahrer von Elektroautos, die ihren Ladevorgang per QR-Code an der Ladesäule bezahlen wollen, geben unwissentlich ihre Kontodaten preis.
Der ADAC rät unter anderem, keinen überklebten QR-Code zu scannen. Hat die Ladesäule ein Display, scannen Sie den Code dort. Meist können Ladesäulen auch mit einer App oder Ladekarte anderer Anbieter genutzt werden. Dabei müssen Sie keinen vorhandenen QR-Code einscannen.
Gefälschte Strafzettel am Auto
Ordnungsämter von einigen Gemeinden oder Städten bieten Autofahrerinnen und Autofahren an, ihre Strafzettel direkt zu bezahlen. Das erfolgt über einen QR-Code. Auch hier nutzen Kriminelle diese Methode aus, indem sie gefälschte Strafzettel mit falschen QR-Codes unter den Scheibenwischern der Autos befestigen. Prüfen Sie den Strafzettel ganz genau. Sind Sie unsicher, ob er echt ist? Dann klären Sie das mit der Polizei.
Schutz vor Quishing
- Aufmerksam sein: Scannen Sie den QR-Code nicht ungeprüft, wenn Sie Zahlungsdaten eingeben sollen. Prüfen Sie unbedingt die Internetadresse, ob es sich etwas um die Adresse Ihrer Hausbank handelt.
- Inhalte nicht automatisch öffnen: Schalten Sie, wenn möglich, die Funktion für ein sofortiges Öffnen eines gelesenen QR-Codes ab. Manche QR-Code-Scanner zeigen zunächst den Link an: Liegt die Quelle im Ausland, kann das ein Indiz auf einen schadhaften QR-Code sein (beispielsweise ".ru"). Auch bei Shortlinks ist Vorsicht geboten, da das eigentliche Ziel des Links nicht angezeigt wird.
- Bank kontaktieren: Haben Sie Zweifel, dass der Brief und QR-Code darauf echt sind? Nutzen Sie nicht die auf dem Brief angegebenen Kontaktmöglichkeiten, sondern recherchieren Sie diese selbst.
- Allgemeine Formulierungen: Seien Sie vorsichtig, wenn in einem Brief eine allgemeine Anrede ("Sehr geehrte Kontoinhaberin, sehr geehrter Kontoinhaber") verwendet wird.
- QR-Code überklebt: Ist der QR-Code an einer Ladesäule möglicherweise überklebt, scannen Sie ihn nicht. Verfügt zum Beispiel eine Ladesäule über ein Display, sollte der Code von dort gescannt werden.