QR-Codes, die aus schwarzen Quadraten bestehenden Bilder, sind inzwischen in unterschiedlichsten Bereichen unseres Alltags angekommen. Wir rufen damit Speisekarten und andere Webseiten auf oder bewerten den Service von Dienstleistern. Dabei vertrauen wir in der Regel auf die Seriosität der Seite, zu der uns der Code führt. Das nutzen nun aber immer mehr Betrüger aus und leiten uns mit Codes auf gefälschte Seiten. 

Das Phänomen nennt sich Quishing, eine Kombination aus "QR-Code" und "Phishing", also ein Fischen nach Passwörtern. Wollen wir auf der gefälschten Webseite unsere Daten eingeben, erscheint beim Quishing oft eine Fehlermeldung, während die Betrüger im Hintergrund unsere Daten abgreifen. Auch auf Whatsapp kann Betrug vorkommen. Wir haben zusammengefasst, wie dich simple Nachrichten in die Falle locken können.

Hinterhältiges Quishing kommt auf zahlreichen Wegen - Beispiele

In Basel etwa versuchen Betrüger an Parkuhren mit überklebten QR-Codes an die Kreditkartendaten von Nutzern zu kommen. Die Kantonspolizei Basel-Stadt warnt "vor diesem schwer erkennbaren QR-Code". Auch auf der Straße verteilte Plastiktütchen samt QR-Code, die eine Menge Geld versprechen, gab es schon. Laut der Verbraucherzentrale kommen daneben Berichte aus Berlin über gefälschte Strafzettel. Demnach bieten Ordnungsamt oder Polizei mancherorts mit QR-Codes auf Strafzetteln die Möglichkeit, gleich zu bezahlen.

Wer eine Fälschung erwischt, könnte sein Geld in kriminelle Hände geben. Die Verbraucherzentrale rät im Zweifel, den Strafzettel bei der Polizei zu zeigen und die Echtheit zu klären. Auch auf E-Ladesäulen können gefälschte QR-Codes lauern. Der ADAC rät, auf die Display-Codes oder Kartenterminals für die Direktbezahlung zurückzugreifen. Die Verbraucherzentrale berichtet zudem von einer Münchnerin, die einen angeblichen Brief der Commerzbank erhalten habe, ohne dass sie hier Kundin sei.

Sie solle ein "photoTAN-Verfahren zur Sicherheit ihrer Bankgeschäfte" aktualisieren, lautete die Aufforderung. Prominent aufgedruckt war auch hier ein QR-Code. Auffällig an diesem Brief sei die anonyme Anrede und die Formulierung: "Vielen Dank für Ihr Verständnis und Ihre sofortige Kooperation in dieser Angelegenheit." Dabei beinhaltet der betrügerische Link sogar "commerzbank.de", allerdings folgt danach ein Bindestrich. Echt wäre die Webseite laut Verbraucherzentrale nur, wenn danach ein Schrägstrich (/) oder gar nichts käme. In einem anderen Artikel haben wir für dich mehr zu Phishing-Mails bei großen Banken zusammengefasst.

Jetzt alle QR-Codes meiden? So schützt du dich vor Quishing

Die Verbraucherzentrale gibt einige Tipps zum Schutz vor Quishing:

1.  Scanne einen QR-Code nur, wenn du sicher bist, dass er seriös ist.
2. Nutze ausschließlich Scan-Funktionen beziehungsweise Apps, die vor dem Öffnen die Information des Codes (zum Beispiel die Webseite) anzeigen.
3. Achte in einer Internet-Adresse genau auf die Satzzeichen: Die Adresse "beispiel.de/123" führt tatsächlich auf eine Unterseite des Auftritts "Beispiel.de". Die Schreibweise "beispiel.de-123.com" hingegen würde auf eine Unterseite des Auftritts "de-123.com" führen.
4. Wenn du einen zweifelhaften Brief bekommen hast, rufe beim Absender an. Verlasse dich dabei nicht auf eine im Brief angegebene Telefonnummer, sondern recherchiere auf seriösen Internetseiten, ob die Nummer auch dort in Verbindung mit dem Unternehmen zu finden ist. Bei einem Brief deiner Bank könntest du in deinem echten Online-Banking prüfen, ob du dort die gleiche Nachricht findest.
5. Prüfe bei einer Ladesäule, ob der QR-Code überklebt wurde. Falls das so ist, scanne ihn nicht.
6. Wenn du auf den Betrug hereingefallen bist, wende dich umgehend an die Polizei. Falls du Geld bezahlt hast, informiere umgehend deine Bank oder rufe den Sperr-Notruf 116116 an.