"Quishing": Falsche QR-Codes in Mails, Briefen, ÖPNV und Straßenverkehr

Stand:
Cyberkriminelle kombinieren digitale Betrugsmaschen mit klassischen Informationswegen. Mit QR-Codes wollen sie auf gefälschte Internetseiten locken und Geld stehlen. Sie verschicken falsche Bank-Briefe, überkleben Codes auf E-Ladesäulen und verteilen gefälschte Strafzettel.
Miniaturfiguren bauen aus kleinen Papierschnipseln einen QR-Code
Foto:

wir_sind_klein/Pixabay.com

Das Wichtigste in Kürze:

  • Weil man bei QR-Codes nicht sofort sehen kann, welche Infos sie enthalten, werden sie von Kriminellen missbraucht.
  • Die betrügerischen Codes kommen nicht über digitale Kommunikationswege, sondern per Briefpost, an Ladesäulen für E-Autos, Parkscheinautomaten, auf gefälschten Strafzetteln sowie in Bussen und Bahnen.
  • Schützen Sie sich, indem Sie einen QR-Code nur dann scannen, wenn Sie sich über dessen Echtheit sicher sind und vorher prüfen können, wo er hinführt.
On

Viele Quadrate in einem Quadrat: Das ist ein QR-Code. Die Quadrate enthalten Informationen, die zum Beispiel mit einem Smartphone erfasst werden können. Oft sind es Internet-Adressen, um auf einfache Weise eine Internetseite zu öffnen. Tückisch dabei ist, dass nicht alle Smartphones anzeigen, was im QR-Code steht, bevor sie die entsprechende Aktion ausführen. Während einige zunächst die Internet-Adresse zeigen und fragen, ob die Seite geöffnet werden soll, öffnen andere so eine Seite sofort. Falls Ihr Gerät das macht, sollten Sie sich eine App installieren, die erst den Link anzeigt.

Kriminelle machen sich die Technik zunutze und missbrauchen QR-Codes für ihre Zwecke. Das wird als "Quishing" bezeichnet – eine Zusammensetzung der Worte "QR-Code" und "Phishing" – also Fischen nach Passworten.

Falsche QR-Codes in Phishing-Mails

Vereinzelt tauchten im Phishing-Radar der Verbraucherzentrale NRW Anfang 2021 erste E-Mails auf, die einen schädlichen QR-Code enthielten. Kriminelle hatten Logos bekannter Banken missbraucht und zum Beispiel dazu aufgefordert, über den QR-Code ein Sicherheitsverfahren zu erneuern. Zu dem Zeitpunkt waren QR-Codes grundsätzlich für viele Menschen bekannt durch die Corona-Warn-App. Bis heute ist Quishing in E-Mails aber eher eine Randerscheinung – verglichen mit Phishing-Mails, in denen ein Link angeklickt werden soll.

Falsche Plakate in Bussen und Bahnen

Am 10. Dezember 2024 warnte die Düsseldorfer Rheinbahn vor falschen Plakaten in ihren Bussen und Straßenbahnen. Unbekannte hatten sie dort mit dem Logo des Verkehrsunternehmens aufgehängt und behauptet, die Rheinbahn verlose Deutschlandtickets. Um eines zu erhalten, müsse man den QR-Code scannen. Er führt auf eine Internetseite, auf der man persönliche Daten angeben soll. Die Seite wird aber nicht vom Verkehrsunternehmen betrieben. Abgefragt werden Name, Anschrift, E-Mail-Adresse und Telefonnummer. Die könnten die Kriminellen zum Beispiel verkaufen oder für Identitätsdiebstahl missbrauchen.

Diese Warnung veröffentlichte die Rheinbahn auf ihren Social-Media-Kanälen:

Aufgehängtes Plakat mit Text: "Unser Weihnachtsgeschenk an Sie. Wir verlosen 10.000 Deutschlandtickets. Sichern Sie sich Ihr 12-monatiges Deutschlandticket für 2025. Jetzt QR-Code scannen." An der Stelle des QR-Codes steht der Hinweistext: "Achtung! Gefälschte Plakate im Umlauf. Scannt nicht den QR-Code! Rheinbahn"

Auffällig an den Plakaten war, dass sie nicht in einem großen Format gedruckt waren, sondern aus zwei aneinander geklebten DIN-A4-Seiten bestanden. Auch in anderen Städten könnten solche Plakate in Bussen und Bahnen auftauchen. Wenn Ihnen so etwas auffällt, fragen Sie lieber bei der Fahrerin oder dem Fahrer, ob die Behauptung auf dem Plakat echt ist.

Falsche Briefe von angeblichen Banken

Einen Brief von der Commerzbank erhielt Ende August 2024 eine Verbraucherin aus München und wandte sich ans Phishing-Radar der Verbraucherzentrale NRW. Die Frau hat gar kein Konto bei der Bank und war deshalb zu Recht erstaunt darüber, dass sie ein "photoTAN-Verfahren zur Sicherheit Ihrer Bankgeschäfte" aktualisieren soll. Dazu enthielt der Brief einen auffällig platzierten QR-Code. Allerdings führt er auf eine Internetseite, die die Kriminellen betreiben. Dort eingetippte Daten (wie zum Beispiel Zugangsdaten zum Online-Banking) würden also in deren Hände gelangen. In manchen Fällen werden auf diese Weise direkt Geldtransfers veranlasst, warnt das Landeskriminalamt Nordrhein-Westfalen.

Diesen Brief hat die Münchnerin erhalten und den QR-Code in der Mitte abgedeckt:

Foto eines falschen Briefs mit Commerzbank-Logo.

Dass solche Aufforderungen als Betrugsversuche per E-Mail verschickt werden, ist nicht neu – wenn auch selten mit QR-Code. Das Phishing-Radar zeigt laufend entsprechende Beispiele. Nun haben Kriminelle ihren Text offenbar mit einem QR-Code ausgedruckt und verschicken ihn per Post. Denn die echte Commerzbank hat mit dem Brief nichts zu tun. Genauso wenig wie die anderen Banken, in deren Namen ebenfalls Briefe verschickt werden. Auffällig ist unter anderem, dass das Schreiben mit "Sehr geehrte Kontoinhaberin, sehr geehrter Kontoinhaber" beginnt und nicht mit dem richtigen Namen der angeschriebenen Person. Auch die eher umständliche Formulierung am Ende ist ungewöhnlich: "Vielen Dank für Ihr Verständnis und Ihre sofortige Kooperation in dieser Angelegenheit."

Wohin führt der QR-Code?

Das sehen Sie hier:

Auf dem Bildschirm eines Smartphones ist die Info eines gescannten QR-Codes zu lesen: https:// commerzbank .de-id-j5tr60xmvzw7gih4sdg6p4bae0cbb...

Auch hierbei haben sich die Kriminellen Mühe gegeben. Augenscheinlich führt der Code sogar auf die Internetseite der Commerzbank – beginnt die Adresse doch mit https:// und wird mit commerzbank.de fortgesetzt. Aber: Hinter dem .de befindet sich ein Bindestrich (-). Die echte Seite der Commerzbank wäre es nur dann, wenn hinter dem .de ein Schrägstrich (/) oder überhaupt nichts stehen würde!

Falsche QR-Codes an Ladesäulen für E-Autos

Ebenfalls im August 2024 gab es Warnungen in verschiedenen Medien vor falschen QR-Codes auf E-Ladesäulen. Dort sind die kleinen Quadrate oft zu finden, damit man zum Laden des Elektroautos direkt bezahlen kann. Kriminelle haben offenbar Codes überklebt, sodass Menschen nicht auf die echte Bezahlseite des Anbieters geführt wurden. Der ADAC rät in solchen Fällen unter anderem, keinen überklebten QR-Code zu scannen. Verfügt die Ladesäule über ein Display, sollte der Code von dort gescannt werden.

In der Regel können Ladesäulen auch mit einer App oder Ladekarte anderer Anbieter genutzt werden. Dabei muss kein vorhandener QR-Code gescannt werden.

Falsche QR-Codes auf Parkscheinautomaten

Das Landeskriminalamt Niedersachsen warnte Mitte November 2024 vor überklebten QR-Codes auf Parkscheinautomaten in Hannover. Sie sollen angeblich auf eine mobile Bezahlseite von "easy park" führen. Stattdessen öffnet sich aber eine gefälschte Seite im Aussehen der echten. Auffällig dabei seien unter anderem fehlende Umlaute (ae statt ä) und dass es möglich sei, längere Parkzeiten als in der Parkzone zulässig auszuwählen. Grundsätzlich sind solche Maschen auch in anderen Städten mit Automaten anderer Betreiber denkbar.

Falsche Strafzettel für Falschparker

In einigen Städten bieten Ordnungsamt oder Polizei auf Strafzetteln einen QR-Code an, über den Autofahrer:innen bei einem Parkverstoß direkt bezahlen können. Das nutzen auch Kriminelle aus, die falsche Strafzettel unter die Scheibenwischer parkender Fahrzeuge klemmen. Berichte darüber gab es in der Vergangenheit unter anderem aus Berlin. Unser Rat: Gehen Sie im Zweifel mit dem vermeintlichen Strafzettel zur Polizei, um den Sachverhalt zu klären.

Tipps zum Schutz vor Quishing

  • Scannen Sie einen QR-Code nur, wenn Sie sich sicher sind, dass er seriös ist. Inzwischen erkennen viele Smartphones einen QR-Code über die Kamera-App. Die sollten Sie aber nur nutzen, wenn die Infos des Codes (z.B. Internet-Adresse) zunächst angezeigt und nicht direkt geöffnet werden. Sehen Sie sich die Adresse genau an und lassen Sie die Internetseite nur dann öffnen, wenn Sie sicher sind, dass sie dem echten Anbieter gehört.
  • Zeigt Ihre Kamera oder Ihr QR-Code-Scanner vor dem Öffnen einer Internetseite die Adresse nicht an, informieren Sie sich über seriöse Apps, die das machen, installieren eine auf Ihrem Gerät und nutzen die zum Scannen eines QR-Codes.
  • Achten Sie in einer Internet-Adresse genau auf die Satzzeichen! Die Adresse "beispiel.de/123" führt tatsächlich auf eine Unterseite des Auftritts "Beispiel.de". Die Schreibweise "beispiel.de-123.com" hingegen würde auf eine Unterseite des Auftritts "de-123.com" führen.
  • Wenn Sie einen zweifelhaften Brief bekommen haben, rufen Sie beim Absender an. Verlassen Sie sich dabei nicht auf eine im Brief angegebene Telefonnummer, sondern recherchieren Sie auf seriösen Internetseiten, ob die Nummer auch dort in Verbindung mit dem Unternehmen zu finden ist. Bei einem Brief Ihrer Bank könnten Sie in Ihr echtes Online-Banking gucken und prüfen, ob Sie dort eine Nachricht mit Handlungsbedarf finden.
  • Prüfen Sie bei einer Ladesäule, ob der QR-Code überklebt wurde. Falls das so ist, scannen Sie ihn nicht!
  • Wenn Sie auf den Betrug hereingefallen sind, wenden Sie sich umgehend an die Polizei! Sie können zum Beispiel Anzeige erstatten über die Online-Wache Ihres Bundeslandes. Falls Sie Geld bezahlt haben, informieren Sie umgehend Ihre Bank oder rufen Sie den Sperr-Notruf 116116 an!
Phishing-Mails: Woran Sie sie erkennen und worauf Sie achten müssen
Schadprogramme: Welche es gibt, was sie anrichten, wie Sie sich schützen

Ratgeber-Tipps

Grafik von Haus mit Solardach und Sonne
Ratgeber Photovoltaik
Wer ein Stück weit unabhängig von den Preiskapriolen der Energieversorger werden will, kümmert sich um die Anschaffung…
zum Ratgeber-Shop
Titelbild des Ratgebers "Handbuch Pflege"
Handbuch Pflege
Als pflegebedürftig gelten Menschen, die wegen einer Krankheit oder Behinderung für mindestens sechs Monate Hilfe im…
zum Ratgeber-Shop

Aktuelle Meldungen

Eine lächelnde Frau blickt über ihre Schulter, während sie in einer Gruppe von drei Personen steht, die sich gegenseitig umarmen. Im Hintergrund ist eine grüne Landschaft zu sehen. Rechts im Bild befindet sich eine Grafik mit einem roten Herz aus einem Seil und dem Schriftzug: "STÄRKEN, WAS ALLE STÄRKT – VERBRAUCHERSCHUTZ" auf hellblauem Hintergrund.
Foto: vzbv unter der Verwendung von katleho Seisa / iStock

Verbraucherschutz stärkt alle: Forderungen zur Bundestagswahl 2025

Die Bundestagswahl 2025 findet in einer Zeit der Krisen statt. Der Verbraucherzentrale Bundesverband (vzbv) hat konkrete Vorschläge zusammengestellt, wie sich der Verbraucheralltag verbessern lässt. Denn: Verbraucherschutz stärkt alle.
Mehr dazu
Mann vor Hintergrund mit verschiedenen grafischen Motiven

Nachwuchspreis MehrWert NRW 2025

Ideen für eine ressourcenschonende Zukunft gesucht: Bewerben Sie sich beim Nachwuchspreis MehrWert NRW!
Mehr dazu
Schmuckbild: Facebook-App
Foto: runrun2 / stock.adobe.com

Sammelklage gegen Facebook wegen Datenleck

Im Jahr 2021 veröffentlichten Hacker massenhaft Nutzer:innendaten von Facebook. Allein in Deutschland gibt es Millionen Geschädigte. Dank der Sammelklage des Verbraucherzentrale Bundesverbands (vzbv) können sie ihre Ansprüche auf Schadensersatz nun gegen Facebook geltend machen. Betroffene können sich für die Klage anmelden, sobald das Bundesamt für Justiz (BfJ) das Klageregister öffnet.
Mehr dazu
Kontakt
Beratung
Newsletter
Social Media
Kostenlose Online-Seminare
Beratung und Service