Betrugsmasche "Quishing": Vorsicht im Ausland an Ladesäulen, Parkautomaten & Co.
QR-Codes haben seit der Corona-Pandemie an Popularität gewonnen und sind aus dem Alltag kaum mehr wegzudenken. Das haben auch Kriminelle erkannt und versuchen europaweit, Menschen mit QR-Codes auf gefälschte Internetseiten zu locken, um sensible Daten zu stehlen und Geld zu ergaunern. Vor allem im öffentlichen Raum lauern Gefahren. Wir beschreiben die häufigsten Maschen des sogenannten Quishing und geben Tipps, wie man sich schützen kann.
Das Wichtigste in Kürze
- Schauen Sie genau hin, wenn Sie einen QR-Code an einem öffentlichen Ort wie einem Parkplatz scannen.
- Betrüger überkleben echte QR-Codes mit manipulierten QR-Codes, die zu gefälschten Bezahlseiten führen.
- Auch in gefälschten Briefen und E-Mail-Anhängen können QR-Codes in betrügerischer Absicht platziert sein.
- Geben Sie persönliche Daten oder Bankinformationen im Internet nur dann preis, wenn Sie sicher sind, dass es sich um eine seriöse Seite handelt.
- Beachten Sie unsere Tipps.
Quishing – wie funktioniert es?
Die neue Betrugsmasche ist unter dem Namen „Quishing“ bekannt. Der Begriff setzt sich aus den Wörtern „Quick Response“ (QR) und „Phishing“ zusammen. Im Gegensatz zum klassischen Phishing, bei dem Betrüger versuchen, über Links in E-Mails, SMS etc. an sensible Daten zu gelangen, ist beim Quishing ein QR-Code das Einfallstor für den Betrug.
Was den Betrug so heimtückisch macht, ist die Tatsache, dass ein QR-Code harmlos aussieht und man nicht im Voraus erkennen kann, ob er echt ist oder nicht.
Der QR-Code an sich ist auch nicht bösartig. Es ist der darin enthaltene Link bzw. das Ziel, wo die Gefahr lauert.
QR-Code führt zu gefälschter Website
Denn bei einem QR-Code-Betrug führt das kleine Quadrat auf eine gefälschte Internetseite. Und diese Seite ist von den Cyberkriminellen so gut präpariert, dass sie kaum von einer offiziellen Seite zu unterscheiden ist.
Gibt man hier nun seine persönlichen Daten ein, um beispielsweise eine Zahlung zu tätigen, werden diese von den Cyberkriminellen abgefangen (also Name, Kreditkartennummer, Ablaufdatum, Sicherheitscode). Das Geld ist erst mal weg und die Kriminellen können mit den übermittelten Daten weitere Taten begehen.
Quishing kann auch dazu führen, dass nach dem Scannen des QR-Codes Schadsoftware auf das Smartphone heruntergeladen wird, mit der Kriminelle den Nutzer ausspionieren oder sich Zugang zu Anwendungen wie Banking-Apps verschaffen.
Mehrere EU-Länder haben bereits QR-Code-Betrug gemeldet
Es ist davon auszugehen, dass Quishing europaweit stattfindet. Polizeibehörden in Belgien, Frankreich, Irland, Italien, den Niederlanden und Spanien haben bereits Fälle registriert und warnen vor der Masche.
Vor allem im Ausland ist für Touristinnen und Touristen besondere Vorsicht geboten. Denn eine gefälschte Internetseite in einer anderen Sprache ist umso schwerer als Betrug zu entlarven.
Quishing: Wo kann ein falscher QR-Code auftauchen?
Gerade im öffentlichen Raum können QR-Codes eine Gefahr darstellen, z. B. auf Parkplätzen, an Parkuhren, E-Ladesäulen, an Bahnhöfen, Bushaltestellen oder Fahrradverleihstationen.
Denn hier ist es für Kriminelle ein Leichtes, unbemerkt einen QR-Code auszutauschen und sich als Verkehrsunternehmen oder Behörde auszugeben, ohne dass das Opfer es merkt.
Denn wer in diesen Bereichen QR-Codes scannt, ist meist in Eile. Eine Parkgebühr beispielsweise soll möglichst schnell bezahlt werden, was dazu führt, dass auf Kleinigkeiten, die auf einen Betrug hindeuten könnten, nicht geachtet wird.
Im Folgenden einige typische Situationen, in denen QR-Code-Betrug vorkommen kann.
Falscher QR-Code an E-Ladesäule
Fahrer von Elektroautos müssen besonders aufpassen.
Die Betrüger kleben die präparierten QR-Codes über die vorhandenen QR-Codes an den Ladesäulen. Wer diese scannt, gelangt wie oben beschrieben, auf eine gefälschte Seite, die der des Ladesäulenbetreibers ähnelt. Nach Eingabe der Bankdaten ist das Laden jedoch nicht möglich.
Verzichten Sie im Ausland am besten ganz auf das Scannen von QR-Codes, die von außen an Ladesäulen angebracht sind.
Informieren Sie sich im Vorfeld, welche Ladekarten oder Lade-Apps in Ihrem Reiseland funktionieren. Und besorgen Sie sich diese. (Mehr dazu hier). Einige Lade-Apps sollen auch gefälschte QR-Codes erkennen.
Wenn ein QR-Code auf dem Display der Ladesäule erscheint, haben Sie weniger zu befürchten. Hier müsste die Ladesäule erst gehackt werden, um einen Betrug zu begehen.
QR-Code-Betrug an Parkautomaten
Europaweit haben Polizeibehörden bereits Fälle von Quishing an öffentlichen Parkautomaten gemeldet. Auch hier überkleben die Betrüger die echten QR-Codes mit manipulierten QR-Codes oder bringen einfach einen gefälschten QR-Code gut sichtbar am Parkautomaten an.
Wer den gefälschten QR-Code scannt, um seine Parkgebühr zu bezahlen, wird auf eine täuschend echt aussehende Bezahlseite weitergeleitet.
Schauen Sie auch hier genau hin. Und scannen Sie den QR-Code im Zweifel lieber nicht.
Falsche Strafzettel mit QR-Code
Immer mehr europäische Städte sind dazu übergegangen, Strafzettel, z.B. für Falschparken, mit einem QR-Code zu versehen, der zu einer Website führt, auf der das Bußgeld bezahlt werden kann.
Kriminelle nutzen dies aus und fälschen ganze Strafzettel inklusive QR-Code, der dann auf eine Fake-Seite führt.
Wenn Sie also im europäischen Ausland ein Knöllchen mit QR-Code an der Windschutzscheibe haben, sollten Sie sehr aufmerksam sein und die Echtheit des Dokuments überprüfen.
Um ganz sicher zu gehen, können Sie auch die offizielle Website der Behörde aufrufen und die dort angegebenen Kontaktdaten nutzen, um sich über die Richtigkeit des Bußgeldbescheids und die Zahlungsmöglichkeiten zu informieren.
Vorsicht: Quishing auch mit gefälschten Bankschreiben
Der QR-Code-Betrug kann Ihnen auch zu Hause begegnen, wenn Sie einen betrügerischen Brief mit QR-Code oder einen E-Mail-Anhang öffnen.
So haben die Banken Santander, HSBC und TSB davor gewarnt, dass Kriminelle in ihrem Namen E-Mails mit einem angehängten PDF versenden, das einen QR-Code mit betrügerischen Absichten enthält.
Geben Sie auf diesem Weg niemals Ihre Finanzdaten preis.
Wenden Sie sich stattdessen an Ihre Bank und erkundigen Sie sich, ob das Schreiben tatsächlich von Ihrer Bank stammt.
Tipps zum Schutz vor Quishing
- Bezahlen Sie möglichst nie über einen QR-Code, egal wo er angezeigt wird.
- Schauen Sie sich QR-Codes im öffentlichen Raum genau an. Ist er vielleicht über einen anderen QR-Code geklebt? Ist er aus normalem Papier? Dann Finger weg.
- Nutzen Sie die URL-Vorschaufunktion, die Ihnen die URL anzeigt, auf die der QR-Code verweist. Sieht der Link vertrauenswürdig aus? Verkürzte Links sollten gemieden werden.
- Verwenden Sie einen aktuellen, sicheren QR-Code-Scanner. Spezielle QR-Scanner-Apps bieten auch eine Sicherheitsfunktion, die potenziell gefährliche Links blockiert oder die URL überprüft.
- Schauen Sie sich die Webseite, auf die Sie weitergeleitet werden, noch einmal genau an, bevor Sie persönliche oder Bankdaten eingeben. Im Zweifelsfall schließen Sie die Seite.
- Wenn Sie eine Transaktion durchgeführt haben und Zweifel aufkommen: Sperren Sie Ihre Kreditkarte (oder das Konto des betreffenden Zahlungsanbieters). Erkundigen Sie sich bei Ihrer Bank nach einer Rückbuchung.
- Laden Sie niemals Apps herunter, nachdem Sie einen QR-Code gescannt haben. Es könnte sich um Schadsoftware handeln.
- Seien Sie achtsam bei verdächtig aussehenden Briefen und E-Mail-Anhängen (z.B. PDF). Scannen Sie auch hier keine QR-Codes.
- Melden Sie Betrugsversuche der Polizei.
Das könnte Sie auch interessieren
Finanziert durch die Europäische Union. Die geäußerten Ansichten und Meinungen sind jedoch ausschließlich die des Autors / der Autoren und spiegeln nicht unbedingt die der Europäischen Union oder des Europäischen Innovationsrates und der Exekutivagentur für kleine und mittlere Unternehmen (EISMEA) wider. Weder die Europäische Union noch die Bewilligungsbehörde können dafür zur Verantwortung gezogen werden.
