Betrugsmasche Quishing: So gefährlich können QR-Codes sein

QR-Codes sind längst zu beliebten Alltagshelfern geworden. Aber sie können auch gefährlich werden. © Getty Images | Getty

Essen. QR-Codes zeigen Speisekarten, erleichtern die Bezahlung, führen zum Gewinnspiel. Aber Cyberkriminelle können damit auch Ihre Daten stehlen.

• In einem QR Code können bis zu 7.089 Ziffern gespeichert werden.
• Die Gefahr: Es ist nicht sofort ersichtlich ist, wohin sie tatsächlich führen.
• IT-Experten geben Tipps, wie Sie sich vor Quishing schützen

Paket aus der Packstation abholen, E-Bike mieten, Rabattgutschein herunterladen – QR-Codes gehören für viele Menschen längst zum Alltag. In einem QR Code können bis zu 7.089 Ziffern oder 4.296 Zeichen, einschließlich Satz- und Sonderzeichen, gespeichert werden. Das heißt, damit lassen sich auch längere Ausdrücke wie Internet-Adressen verschlüsseln. QR steht für „Quick Response“ (schnelle Antwort) und hält, was der Name verspricht. Hat man den Code mit seiner Handy-Kamera eingescannt, wird man binnen Sekunden zu der integrierten Web-Adresse geführt – mühsames Eintippen überflüssig. Doch die Einfachheit hat ihre Tücken.

Die Gefahr bei QR-Codes ist, dass es auf den ersten Blick nicht ersichtlich ist, wohin sie tatsächlich führen. Sie können auf eine offizielle Seite verweisen, aber auch zu einem Fake-Shop auf einer gefälschten Seite. Die Smartphones erkennen den Unterschied in der Regel nicht. Denn ein QR-Code wird von den meisten Sicherheitsprogrammen nur als Bild erkannt und nicht für ein Risiko gehalten.

Neuestesr Trick nennt sich „Quishing“

Was auf einer gefälschten Seite alles passieren kann, weiß Patrycja Schrenk, Geschäftsführerin der Internet-Sicherheitsfirma PSW Group. „Entweder laden Nutzer Dokumente herunter, die mit Malware verseucht sind, oder sie geben Login-Daten ein, die direkt an die Betrüger weitergeleitet werden“, bestätigt sie gegenüber dem IT-Sicherheitsmagazin „“.

Außerdem könnten die so erbeuteten Codes von Cyberkriminellen genutzt werden, um Einkäufe auf Online-Plattformen im Namen der ahnungslosen Nutzer zu tätigen oder um Zugang zu geschützten Firmennetzwerken zu erlangen. „Quishing“ nennen Fahnder und IT-Experten die neue Masche mittlerweile, ein Wort das sich zusammensetzt aus „QR“ und „Phishing“.

Wie raffiniert die „Quisher“ vorgehen, zeigt eine Warnung des Verbraucherzentralen NRW: Aktuell sind in einigen Bundesländern gefälschte Briefe im Umlauf, die den Anschein erwecken, von namhaften Kreditinstituten zu stammen. Diese Schreiben wirken zunächst professionell und sollen so das Vertrauen der Empfänger gewinnen. Wer einen dieser Codes scannt und dem darin hinterlegten Link folgt, landet auf einer gefälschten Banking-Seite und wird zur Eingabe sensibler Daten aufgefordert. Die Kriminellen wollen so den Zugriff aufs Onlinebanking der Briefempfänger. Aufhänger in den Briefen ist die Behauptung, aufgrund von EU-Vorschriften die Identität der Kundinnen und Kunden überprüfen zu müssen.

Fake-Seite: Hacker fangen Anmeldedaten ab

Aber auch unterwegs droht Gefahr. Zeitungen in Asien berichten vom Fall einer 60-Jährigen aus Singapur. Um eine kostenlose Tasse Bubble Tea zu bekommen, scannte sie den QR-Code-Aufkleber auf der Glasscheibe an der Tür eines Cafés mit ihrem Smartphone ein. Der Aufkleber stammte allerdings nicht von den Mitarbeitern, sondern von Cyberkriminellen. Der Link führte zum Herunterladen einer Android-App eines Drittanbieters, der als Lohn für eine kurze Umfrage die Tasse Tee versprach.

Wer daran teilnahm, ermöglichte den Hackern Zugriff auf die Kamera und das Mikrofon sowie die Aktivierung der Android-Zugangsdienste. Die Betrüger mussten dann nur noch darauf warten, dass ihr Opfer sich einloggt, die Anmeldedaten abfangen und sie später dazu verwenden, Geld auf ihre eigenen Konten zu überweisen. In diesem Fall 20.000 Dollar.

Auch „Knöllchen“ werden gefälscht

Eine andere Masche, die es schon länger in den USA und Großbritannien gibt, ist vor geraumer Zeit auch nach Deutschland geschwappt. Dabei klemmen die Täter Strafzettel wegen falschen Parkens hinter die Scheibenwischer, auf denen gefälschte QR-Codes zwecks Zahlung der Knöllchen auf Fake-Webseiten weiterleiten. Bei Zahlung am gleichen Tag wird eine Minderung von 5 Euro in Aussicht gestellt. „Falls Sie an Ihrem Auto einen solchen Fake-Zettel finden, lesen Sie keinesfalls den QR-Code aus oder überweisen Geld an das dahinter geschaltete Portal“, warnt die Berliner Polizei, die am Wochenende „zahlreiche“ der falschen Knöllchen einsammelte.

Aller Raffinesse zum Trotz kann man sich nach Einschätzung von IT-Experten schützen vor Quishing. Handys mit den gängigen Betriebssystemen Android und iOS öffnen die hinterlegten Webseiten nicht automatisch, sondern zeigen die URL als Vorschau an. Prüfen Sie, ob diese Adresse vertrauenswürdig aussieht. Vorsicht ist hier vor allem bei verkürzten Links geboten.

Ist man schon weitergeleitet worden, sollte man einen genauen Blick auf die Webseite werfen, die sich da geöffnet hat. Wirkt sie nicht vertrauenswürdig – etwa weil sie viele Rechtschreibfehler oder merkwürdige Formulierungen enthält – empfiehlt es sich, die Aktion abzubrechen.

Denken Sie nach, bevor Sie etwas einscannen

Bei physischen QR-Codes ist es ratsam, zu schauen, ob damit nicht andere Codes überklebt worden sind. Und vermeiden Sie – wie im Singapur-Fall – das Herunterladen von Apps über QR-Codes. Besser: Sie holen sich die Programme über die offiziellen App-Stores. Oder wie es Trustwave, einer der großen Anbieter von Cybersicherheitslösungen jüngst zusammengefasst hat: „Denken Sie einfach nach, bevor sie etwas einscannen.“