Seit der Corona-Pandemie sind QR-Codes aus dem Alltag vieler Verbraucher nicht mehr wegzudenken. Doch Verbraucher sollten auf der Hut sein, auch Kriminelle nutzen sie, um an sensible Daten oder Geld zu gelangen. Wie zeigen, wie man sich schützen kann.
Tipps und Hinweise zum Schutz vor Betrug mit QR-Codes.
Ob zum Einchecken, Bezahlen oder für schnelle Informationen – die quadratischen QR-Codes sind allgegenwärtig. Diese Entwicklung haben jedoch auch Kriminelle erkannt und nutzen gefälschte QR-Codes sowie betrügerische Webseiten, um Geld zu ergaunern und sensible Daten zu stehlen. Besonders im öffentlichen Raum lauern Gefahren, die oft schwer erkennbar sind.
Quishing: Wenn QR-Codes zur Phishing-Falle werden
Die neue Betrugsmasche, bekannt als „Quishing“, kombiniert die Begriffe „Quick Response“ (QR) und „Phishing“. Im Gegensatz zu klassischem Phishing, bei dem Links in E-Mails oder SMS verwendet werden, dient hier der QR-Code als Einstieg in den Betrug. Was diese Methode so gefährlich macht, ist ihre Tarnung: QR-Codes wirken harmlos, und auf den ersten Blick lässt sich nicht erkennen, ob sie gefälscht oder echt sind. Der Code selbst ist nicht schädlich – die Gefahr liegt in der Zieladresse, die der QR-Code enthält.
So funktioniert der QR-Code-Betrug
Kriminelle erstellen täuschend echte Internetseiten, die offiziellen Seiten, beispielsweise von Städten oder Ladesäulenbetreibern, stark ähneln. Anschließend generieren sie QR-Codes, die auf diese gefälschten Seiten verlinken. Die Codes werden in Phishing-E-Mails, auf sozialen Medien, gedruckten Flyern oder an physischen Objekten wie Parkuhren oder Ladesäulen angebracht. Mit raffiniertem Social Engineering versuchen die Betrüger, potenzielle Opfer zu ködern.
Ein typisches Szenario: Eine E-Mail fordert den Empfänger auf, über einen QR-Code eine Sprachnachricht abzurufen, um beispielsweise einen Gewinn einzulösen. Oder der Code wird an öffentlichen Orten über echte QR-Codes geklebt, etwa auf Parkautomaten. Scannt das Opfer den Code, wird es auf eine betrügerische Website geleitet, die persönliche Informationen abfragt oder eine Zahlung verlangt.
Ziel: Identitätsdiebstahl und finanzieller Schaden
Auf den gefälschten Webseiten werden die Opfer aufgefordert, sensible Daten wie Name, Adresse, Geburtsdatum oder Bankinformationen einzugeben. Alternativ wird eine vermeintliche Rechnung zur Zahlung präsentiert, bei der das Geld direkt an die Betrüger fließt. Mit den erbeuteten Daten können Angreifer Identitätsdiebstahl, Finanzbetrug oder andere kriminelle Aktivitäten durchführen.
Besonders gefährdet sind öffentliche Bereiche, in denen QR-Codes bereits als praktische Hilfsmittel etabliert sind. Dazu zählen Parkautomaten, E-Ladesäulen, Bahnhöfe, Bushaltestellen oder Fahrradverleihstationen. Auch gefälschte Strafzettel mit QR-Codes an der Windschutzscheibe wurden bereits gemeldet.
Tipps: So schützen Sie sich vor Quishing
Um sich vor Quishing zu schützen, sollten Sie folgende Hinweise beachten:
- Keine Zahlungen über QR-Codes leisten: Bezahlen Sie möglichst nie über einen QR-Code, unabhängig davon, wo dieser angezeigt wird.
- Verdächtige E-Mails meiden: Öffnen Sie keine Anhänge und scannen Sie keine QR-Codes aus dubiosen Nachrichten.
- Skepsis bei öffentlichen QR-Codes: Vermeiden Sie das Scannen von Codes auf Flyern oder Plakaten, wenn die Quelle nicht vertrauenswürdig ist.
- Direkte Eingabe bevorzugen: Geben Sie URLs manuell ein, anstatt sie über QR-Codes zu öffnen.
- Links prüfen: Nutzen Sie QR-Scanner-Apps, die URLs vorab anzeigen. Achten Sie auf verdächtige Domainnamen oder Rechtschreibfehler.
- Sichere Scanner-Apps verwenden: Wählen Sie Apps, die Sicherheitsfunktionen bieten und gefährliche Links blockieren.
- Im Zweifel nicht interagieren: Schließen Sie verdächtige Seiten und geben Sie keine persönlichen oder finanziellen Informationen ein.
Handeln bei Verdacht auf Betrug
Sollten Sie Opfer eines Betrugs werden, sperren Sie umgehend Ihre Kreditkarte und beantragen Sie bei der Bank eine Rückbuchung. Informieren Sie Polizei und Webseitenbetreiber über den Vorfall, um weitere Schäden zu verhindern.
Mit Wachsamkeit und den richtigen Vorsichtsmaßnahmen können Sie sich effektiv vor Quishing und anderen Formen des QR-Code-Betrugs schützen.