Quishing: Die versteckte Gefahr im QR-Code

Seit der Pandemie sind QR-Codes fest in unseren Alltag zurückgekehrt. Ursprünglich bereits 1994 entwickelt, erlebten sie Anfang des 21. Jahrhunderts einen ersten Boom, wurden dann aber von anderen kontaktlosen Systemen verdrängt. Doch im März 2020 brachten die Corona-Beschränkungen die kleinen schwarz-weißen Quadrate zurück. Sie ermöglichen eine schnelle, kontaktlose Verbindung im Alltag.

Ein QR-Code („Quick Response“, also schnelle Antwort) ist ein moderner Barcode. Er kann einen Link zu Webinhalten enthalten. Dank ihrer quadratischen Form kann er von fast allen Smartphones gelesen werden. Es reicht, die Kamera auf den QR-Code zu halten. Oft erkennt das Gerät die Daten sogar ohne eine extra App. Ob für den Download von Apps oder die Speisekarte im Restaurant: QR-Codes sind überall. Sie dienen dem Austausch von Kontakten, zeigen Werbung oder ermöglichen kontaktloses Bezahlen.

In der Cybersicherheit gilt: Wo ein neues Werkzeug entsteht, folgt der Angriff. QR-Codes bilden hier keine Ausnahme. Diese spezielle Form der Cyberkriminalität wird als Quishing oder QRishing bezeichnet – eine Wortschöpfung aus QR-Code und Phishing.

Die Bedeutung von Quishing ist einfach erklärt. Beim Scannen des Codes gelangt der Nutzer auf eine betrügerische Website. Dort werden Zugangsdaten oder sensible Informationen abgefragt. Diese werden dann für bösartige Zwecke missbraucht. Dazu zählen Identitätsdiebstahl, betrügerische Zahlungen oder ungewollte Abonnements.

QR-Code Betrug entwickelt sich ständig weiter. Kriminelle nutzen das Vertrauen in QR-Codes aus, weil echte und manipulierte Codes kaum zu unterscheiden sind. Deshalb setzen sie gezielt auf psychologische Tricks, um Nutzer dazu zu bringen, persönliche Daten preiszugeben.

• Automatische Weiterleitung deaktivieren: Schalte in deinen Kamera-Einstellungen die Option aus, Links nach dem Scannen automatisch zu öffnen.
• Vorschau prüfen: Nutze Scanner-Apps, die die Ziel-URL anzeigen, bevor die Seite geladen wird. Prüfe die Adresse genau, bevor du Daten eingibst.
• Herkunft hinterfragen: Scanne keine QR-Codes aus zweifelhaften Quellen. Überprüfe die Identität des Absenders. Im Zweifel hilft eine kurze Online-Recherche oder ein Anruf beim Anbieter.
• Vorsicht bei Zahlungen: Kontrolliere bei Finanztransaktionen via QR-Code genau, ob die Transaktion wie erwartet abläuft.
• Physische Manipulation prüfen: Achte an öffentlichen Orten (z. B. an Parkuhren) darauf, ob ein Aufkleber über dem Originalcode platziert wurde. Melde solche Manipulationen sofort dem Personal.
• Kontext prüfen: Wenn ein QR-Code dich auf eine Seite leitet, die Passwörter oder Zahlungsdaten fordert, halte inne. Ist diese Abfrage in diesem Moment wirklich notwendig?

Nicht nur Betrug ist ein Risiko: Auch deine Privatsphäre kann durch QR-Codes gefährdet sein. Viele Dokumente – etwa Arzttermine, Bankbelege oder Tickets – enthalten QR-Codes mit sensiblen Informationen.

Wird ein solcher Code geteilt oder gescannt, können Dritte diese Daten leicht auslesen und missbrauchen.

Important to keep mind: Teile diese Codes niemals öffentlich und sende keine Fotos solcher Dokumente an Unbefugte. Zeige sie nur vor, wenn es absolut notwendig ist, und bewahre sie sicher auf.

Schütze dich und informiere andere über die Risiken. Noch nicht jeder kennt die Gefahr, die in den Quadraten lauern kann.

Sei ein aktiver Teil der Cybersicherheit!