QR-Codes sind aus dem Alltag kaum mehr wegzudenken. Sie werden fürs Bezahlen, auf Plakaten, in Restaurants oder in E-Mails genutzt. Genau diese Bequemlichkeit machen sich Cyberkriminelle zunutze. Die Betrugsmasche nennt sich Quishing, eine Kombination aus QR-Code und Phishing.
Was ist Quishing?
Beim Quishing werden manipulierte oder gefälschte QR-Codes eingesetzt, um Nutzerinnen und Nutzer auf betrügerische Webseiten zu leiten oder sie zur Eingabe sensibler Daten zu verleiten. Im Gegensatz zu klassischen Phishing-Angriffen ist das Ziel eines QR-Codes vor dem Scannen in der Regel nicht einfach so sichtbar, was einen Sicherheitsnachteil darstellt.
Wie funktioniert ein Quishing-Angriff?
Ein typischer Quishing-Angriff läuft in mehreren Schritten ab:
- Kriminelle platzieren oder überkleben gefälschte QR-Codes an verschiedenen Stellen. Dazu gehören zum Beispiel Parkautomaten, Plakate, Flyer oder auch E-Mails.
- Wenn das Opfer den QR-Code scannt, führt dieser auf eine täuschend echt aussehende Webseite (Phishing-Webseite). Dies können Login-Seiten, Paketdienste oder Zahlungsdienste sein.
- Falls die betroffene Person dies nicht erkennt und dort ihre Zugangsdaten eingibt oder eine Zahlung bestätigt, landen diese Informationen direkt bei den Betrügern.
In seltenen Fällen kann über den QR-Code auch Schadsoftware auf das Smartphone geladen werden.
So schützen Sie sich vor Quishing
Mit einfachen Vorsichtsmassnahmen lässt sich das Risiko deutlich reduzieren:
- Scannen Sie nur QR-Codes aus vertrauenswürdigen Quellen.
- Nutzen Sie ausschliesslich QR-Code Scanner, welche Ihnen den Inhalt des Codes erst anzeigen, und ihn nicht sofort weiterverarbeiten.
- Prüfen Sie nach dem Scannen eines QR-Codes immer die Link-Destination (Domänen-Namen) oder Zahlungsinformationen, bevor Sie die Zielseite öffnen oder eine Transaktion ausführen.
- Geben Sie keine Logindaten, Kreditkarteninformationen oder Codes über eine per QR-Code aufgerufene Seite ein.
- Seien Sie misstrauisch bei QR-Codes, die Druck oder Dringlichkeit erzeugen.
- Tippen Sie wichtige Webadressen lieber manuell im Browser ein.
Fazit
QR-Codes sind praktisch, aber nicht automatisch sicher. Quishing zeigt, dass auch moderne Technologien missbraucht werden können. Wer aufmerksam bleibt und grundlegende Sicherheitsregeln beachtet, kann sich wirksam vor dieser Betrugsform schützen.
