Quishing: Datendiebstahl durch Fake-QR-Codes

2. September 2024

Zehntausende Fake-Briefe wurden von Betrügerinnen und Betrügern verschickt, in denen sie sich als Banken ausgeben und die Opfer zum Scannen eines QRCodes auffordern.
Die Codes führen zu gefälschten Webseiten u.a. von namhaften Banken, um Daten abzugreifen oder Geld einzufordern.
Die Polizei warnt dringend davor, den Codes zu folgen und persönliche Daten auf den Fakeseiten einzugeben bzw. den Zahlungsaufforderungen nachzugeben.

„Ist die perfekte Täuschung erst einmal geschaffen, wollen Cyberkriminelle nur noch eines: persönliche Daten. Wie eine Muräne, die in ihrer Höhle lauert und darauf wartet, Benutzernamen und Passwörter zu erbeuten.“

Der britische Sales-Director of Meta Compliance Lukas Noonan

Aus Phishing wird Quishing

E-Mail-Betrug ist keine Seltenheit. Immer wieder versuchen Verbrecher beim Phishing über Fake-Mails die Daten von uns Userinnen und User abzugreifen. Eine aktuell kursierende Masche der Betrüger geht jetzt einen Schritt weiter. „Quishing“ heißt diese neue Methode. Das Wort ist eine Kombination aus QR-Code und Phishing. Während die Opfer beim Phishing aufgefordert werden, Links in Mails anzuklicken, die sie dann zu Fakeseiten führen, ist der Quishing-Weg ein anderer. Er funktioniert über gefälschte QR-Codes. Diese finden sich in Briefen, sind aber auch schon an Ladesäulen für E-Autos gemeldet worden oder auf Strafzetteln für Falschparker.

Mit einem Brief fängt der Betrug an

Die Quishing-Masche folgt einem ähnlichen Prinzip wie das schon bekannte Phishing. Der Unterschied ist der QR-Code. Denn hier können wir auf den ersten Blick nicht erkennen, welche Infos von wem hinterlegt sind. Bei der aktuellen Quishing-Welle erhalten die Opfer einen Brief per Post von einer Bank. Darin werden sie z.B. aufgefordert, ihre persönlichen Bankdaten zu aktualisieren bzw. wie in einem Fall aus München die Daten zum photo-TAN-Verfahren zu reaktivieren. Der Brief enthält einen QR-Code, über den diese Reaktivierung gestartet werden kann. Die Nachrichten-Website heise.de hat einen solchen wohl formulierten Fakebrief der Deutschen Bank beispielhaft online gestellt. Der QR-Code führt Nutzerinnen und Nutzer zu einer Fake-Seite im Look der benannten Bank. Wer dort seine Daten eingibt, schickt diese direkt in die Hände der Abzocker. Das gilt auch für mögliche Zahlungen.

Der Briefkasten hat keinen Spamfilter

Quishing ist besonders gefährlich, da QR-Codes deutlich mehr Vertrauen erwecken, als es Links tun. Zudem können sie an den unterschiedlichsten Stellen positioniert werden. Der IT-Risk-Manager Chris Wojzechoski warnt: „Wird der QR-Code an einem plausiblen Ort und in einem logischen Kontext platziert, so wirkt er seriös und vertrauenswürdiger als eine E-Mail.“ Dabei nutzen die Betrüger zwei Vorteile des QR-Codes: Durch den Postversand umgehen sie zum einen die Spamfilter der Mail-Postfächer, die die Fake-Nachrichten schon direkt aussortieren könnten. Zum anderen setzen sie auf die gelernte QR-Code-Nutzung: Ohne Bedenken und kritisches Hinterfragen klicken wir auf die Website, zu der uns ein QR-Code führt.

Wie kann ich mich schützen?

Die Verbraucherzentralen geben auf eine Extra-Serviceseite zum neuen Betrugsverfahren verschiedene Tipps, um nicht zum Quishing-Opfer zu werden. Die wichtigste Regel ist, dass niemals ein QR-Code gescannt werden sollte, dessen Quelle wir nicht sicher nachvollziehen können. Auch wenn wir einen solchen Code per Post bekommen, sollten wir den Brief genau unter die Lupe nehmen. Betroffene bekamen z.B. den Brief einer Bank, bei der sie kein Konto hatten. Weitere Tipps: Die gefälschten Briefe beginnen häufig allgemein mit „Sehr geehrter Kunde, sehr geehrte Kundin…“ und nicht mit unserem Namen. Außerdem können sie Rechtschreibfehler oder ungewöhnliche Formulierungen enthalten.

Die Polizei rät: „Sollten Sie einen solchen Betrugsversuch bemerken oder bereits darauf reagiert haben, wenden Sie sich umgehend an die Polizei. Wenn es bereits zu Geldverfügungen gekommen ist, kontaktieren Sie unmittelbar das Kreditinstitut und lassen Sie Ihr Konto sperren. Nutzen Sie den Sperr-Notruf 116116.“

Netzklick

Mehr Elternkontrolle bei TikTok

Die neue Schutzfunktionen von TikTok bringen mehr Sicherheit für Kinder. Eltern können so das Verhalten Ihrer Kinder auf TitTok besser kontrollieren.

Netzklick

Riesiger Strom- und Wasserverbrauch durch KI

Je stärker Künstliche Intelligenz zu unserem Leben gehört, um so stärker wächst der Bedarf an u.a. Strom und Wasser für die Rechenzentren von Google und Co.

Netzklick

Wie wir die Kontrolle über unsere Daten im Netz zurückholen können

Von uns existieren tausende Daten bei verschiedenen Anbietern im Internet. Wir können erfragen, wer welche Daten gespeichert hat und das Löschen verlangen.

Netzklick

Enkeltrick und Schockanrufe treffen auf KI

Alarm bei Enkeltricks und Schockanrufen: Bekannte Telefon-Betrugsmaschen wird durch Künstliche Intelligenz noch gefährlicher. Wir haben die Infos zum Thema.

Quishing: Datendiebstahl durch Fake-QR-Codes

Aus Phishing wird Quishing

Mit einem Brief fängt der Betrug an

Der Briefkasten hat keinen Spamfilter

Wie kann ich mich schützen?

Mehr Elternkontrolle bei TikTok

Riesiger Strom- und Wasserverbrauch durch KI

Wie wir die Kontrolle über unsere Daten im Netz zurückholen können

Enkeltrick und Schockanrufe treffen auf KI

Schlagzeilen

Berlin/Bielefeld | Nach gemeinem Teddy-Diebstahl: Leute bieten Ersatzbären an

Tel Aviv/Teheran | Israels Iran-Angriff trifft Militärführung und Atomanlagen

Berlin/Düsseldorf | Fliegen ohne Furcht: Wie kann ich Flugangst überwinden?

Orlando | Basketball-Weltmeister Franz Wagner will an EM teilnehmen

Miami | Trumps Politik als FIFA-Problem: Sorgen vor der Club-WM

Orlando/Istnabul | Sané spielt Club-WM für Bayern - Eberl: «Kuriose Situation»

Rust | Kader für Frauen-EM steht: Künzer spricht von Titel

Stuttgart | Zverev nach Auftaktsieg: Kein Kontakt zu Becker

Montreal | «Chaos» bei Ferrari - aber Hamilton denkt nicht ans Aufhören

Orlando | Spannende Eberl-Aussagen zum geplatzten Wirtz-Transfer