Beim Scannen des QR-Codes sollte man eine Kamera-App verwenden, die die Zieladresse vor dem Öffnen anzeigt. (Foto: © gobba/123RF.com)
Vorlesen:
Januar 2025
Eine neue Betrugsmasche alarmiert Experten: Beim sogenannten Quishing leiten gefälschte QR-Codes auf kriminelle Websites. Wir geben Tipps, wie man sich schützen kann.
Sie begegnen einem überall: die kleinen Kästchen mit schwarzweißem Würfel-Muster, die per Smartphone ausgelesen werden. Diese QR-Codes bergen ein verstecktes Risiko, da ihr Inhalt nicht auf den ersten Blick erkennbar ist. Kriminelle nutzen diese Eigenschaft für betrügerische Zwecke aus.
Die neue Form des Betrugs wird Quishing genannt, es kombiniert die Begriffe "QR-Code" und "Phishing". Quishing also das Fischen nach Informationen mittels QR-Code. Es zielt darauf ab, an sensible Daten zu gelangen. Betrüger platzieren gefälschte QR-Codes strategisch, um Nutzer auf betrügerische Websites zu locken. Dort versuchen sie, persönliche Informationen der Nutzer abzugreifen oder sie sogar Geldüberweisungen zu veranlassen. Geben die Nutzer auf der Fake-Website ihre persönlichen Daten ein, wie etwa Passwort oder Kreditkartennummer, haben die Betrüger Zugriff auf das Geld.
Die manipulierten Codes existieren vor allem in der physischen Welt: etwa in Briefsendungen, Parkautomaten und in öffentlichen Verkehrsmitteln. Oder imitierte Banknachrichten fordern zur Aktualisierung von Sicherheitsverfahren auf. An E-Ladesäulen werden Betrugs-Codes über die Original-Codes der Anbieter geklebt und leiten so die Zahlungen direkt auf die Internetseiten der Kriminellen. Auch falsche Strafzettel an Autos können betrügerische Codes enthalten.
Um sich vor Quishing zu schützen, sollten QR-Codes nur aus vertrauenswürdigen Quellen gescannt werden. Besonders tückisch ist, dass einige Smartphones den Inhalt des QR-Codes nicht anzeigen, bevor sie die verlinkte Webseite öffnen. Man sollte beim Scannen des Codes eine Kamera-App verwenden, die die Zieladresse vor dem Öffnen anzeigt.
Betriebsführung
Betriebsführung
Betriebsführung
Achten Sie in einer Internet-Adresse auch genau auf die Satzzeichen! Die Adresse "beispiel.de/123" führt tatsächlich auf eine Unterseite des Auftritts "Beispiel.de". Die Schreibweise "beispiel.de-123.com" hingegen würde auf eine Unterseite des Auftritts "de-123.com" führen.
Bei verdächtigen Nachrichten sollte man den angeblichen Absender kontaktieren. Am besten ruft man direkt an – aber nicht über die im Brief oder in der Mail angegebene Telefonnummer, sondern über die offiziellen Kontaktdaten des Unternehmens.
Nutzer von E-Ladesäulen sollten genau überprüfen, ob der QR-Code an der Säule überklebt wurde. Bestehen Zweifel, sollte man stattdessen andere Zahlungsmethoden wie eine App oder eine Ladekarte nutzen. Autofahrer sollten vermeintliche Strafzettel bei der Polizei überprüfen lassen, bevor sie die Strafe bezahlen.
Ist man Opfer eines Quishing-Betrugs geworden, ist schnelles Handeln gefragt: Man sollte umgehend die Polizei informieren. Hier finden Sie die Online-Wache Ihres Bundeslandes. Wer eine Überweisung gemacht hatte, sollte sofort seine Bank oder den Sperr-Notruf 116 116 kontaktieren.
Einige Cyberversicherungen decken Quishing als Unterform des Phishings ab. Allerdings besteht bei selbst getätigten Überweisungen, wie im Fall gefälschter Strafzettel, in der Regel kein Versicherungsschutz.
Die Berater in den Handwerkskammern helfen Ihnen bei Rechtsfragen gerne weiter!
DHB jetzt auch digital!Einfach hier klicken und für das digitale Deutsche Handwerksblatt (DHB) registrieren!
Kommentar schreiben