Sparda-Bank Hessen eG

Online-Banking
Abbildung eines QR-Codes

„‘Quishing‘ – was bitte?“ – Betrug via QR-Code

Ja, Sie haben richtig gelesen: „Quishing“ ist eine offizielle Bezeichnung für die Betrugsmasche, bei der „Gutgläubige“ über das Scannen manipulierter QR-Codes auf betrügerische Webseiten geleitet werden. Der Begriff „Quishing“ ist dabei eine Wortschöpfung aus dem „Q“ für „QR-Code“ und klassischem „Phishing“, dem betrügerischen „Daten-Fischen“.

Gefälschte QR-Codes an Frankfurter Parkautomaten“ war Ende vergangenen Jahres (2024) ein heißes Thema in vielen Medien. Was war passiert? – Kriminelle hatten in großem Ausmaß an Parkautomaten befindliche QR-Codes mit gefälschten QR-Codes überklebt.

Quick-Response-Codes (so die vollständige Bezeichnung hinter der Abkürzung „QR“ für die „schnellen Antwortcodes“ wie in der Abbildung dargestellt) dienen an den Parkautomaten an sich dazu, das Bezahlen der Parkgebühr mittels Smartphone zu vereinfachen. Der Absicht nach führt der am Automaten befindliche „QR“ direkt auf eine Seite bzw. in eine Anwendung, die das Autokennzeichen und die Bestätigung des Parktarifs abfragt – sowie die gewünschte Zahlungsmethode, zu der dann auch die für den digitalen Bezahlvorgang benötigten sensiblen Daten einzugeben sind.

Im Fall der betrügerischen QR-Codes landeten Betroffene allerdings auf einer ganz anderen Seite, die der echten nur zum Verwechseln ähnelte. Solche Seiten betreiben Kriminelle quasi als Köder, um sich hierüber die gutgläubig eingegebenen vertraulichen Login- und Bezahldaten ihrer Opfer abzu-„phishen“, mit denen sie dann deren Konten plündern.

Beim Quishing – also dem Phishing via QR-Code – machen Täter:innen es sich zunutze, dass man es den kleinen, aus allerlei schwarz-weißen Mustern bestehenden QR-Quadraten unmittelbar nicht ansieht „worauf‘s hinausläuft“: Denn der betreffende Weblink bzw. die Zieladresse dahinter verbirgt sich ja in diesen Kennzeichnungen verschlüsselt.

Und ist es nicht in der Tat nur allzu leicht und praktisch, Informationen bzw. einen Weblink oder eine Anwendung einfach durch bequemes Scannen des „QRs“ mittels geeigneter App aufzurufen? Sei es für den Erhalt näherer Informationen zu öffentlichen Plakaten, Anzeigen oder Flyern, bisweilen auch schon zum Lesen einer Speisekarte, dem Überweisen von Rechnungen oder eben dem schnellen Bezahlen an Automaten wie z. B. auch der Nutzung im Rahmen von Freigabeverfahren zur TAN-Generierung (siehe ChipTAN-Methode) …

Was dabei leider leicht vergessen wird: QR-Codes sind einfach nur verschlüsselte Informationen – also lediglich eine andere, maschinenlesbar codierte Form der Darstellung eines Weblinks oder welcher Daten auch immer. Einen solchen QR-Code kann im Grunde jeder ganz einfach – etwa über eine der zahlreichen kostenlosen Web-Anwendungen – innerhalb weniger Sekunden mit beliebigem Inhalt selbst erzeugen.

Somit kann ein QR-Code in vielen Fällen das tägliche Leben einerseits zwar vereinfachen – andererseits aber, je nachdem, von wem in welcher Absicht erzeugt, auch direkt ins Verderben führen: So geschehen in den bekannt gewordenen Frankfurter Fällen, wo gefälschte QR-Codes zu betrügerischen Seiten über die redlichen „Original-QRs“ der Parkautomaten drüber geklebt worden waren. Vorsicht ist also geboten! In diesem Sinne gilt das z. B. auch an Ladesäulen für Elektrofahrzeuge.

Weitere Betrugsmaschen mit QR-Codes bestehen darin, dass diese in vermeintlich z. B. von der Bank kommenden „Fake-Briefen“ massenhaft versendet werden: In diesen Schreiben wird dann beispielsweise dazu aufgefordert, über den angegebenen QR-Code eine Seite zum Aktualisieren persönlicher Daten aufzurufen. Wer diese „QRs“ einscannt, landet allerdings auch wieder auf einer gefälschten Seite. Wenn Sie hier Ihre Daten eingeben, liefern Sie den „Phishern“ alles, was diese brauchen, um sich bei Ihnen zu bedienen. Seien Sie also auch bei postalischen Mitteilungen bitte stets aufmerksam – achten Sie genau darauf, wer Ihnen was schickt!

 

Tipps zum Umgang mit QR-Codes:

  • Schauen Sie sich Parkautomaten, Ladesäulen und sonstige Stationen, an denen Sie via QR-Code-Scan mit dem Handy bezahlen möchten, vorher immer genau an! 

    Achtung: Könnte der echte QR-Code hier überklebt worden sein? Dann besser die Finger davonlassen!


  • Wenn Sie auf Ihrem mobilen Gerät einen QR-Code-Scanner bzw. eine Kamera-App nutzen, die beim Scannen vorab die verlinkte Adresse anzeigt, prüfen Sie diese!

    Achtung: Wirkt hier irgendwas – etwa eine ungewöhnliche Zeichenfolge oder Ähnliches – seltsam auf Sie? Dann besser nicht anklicken!

  • Vorsicht auch im Online-Banking – wenn Sie z. B. bei der Zwei-Faktor-Authentifizierung für Ihren Konto-Zugang einen ChipTAN-Generator in Verbindung mit dem Scannen eines QR-Codes nutzen: Werfen Sie einen sorgfältigen Blick auf die Seite, auf der Ihnen der „QR“ präsentiert wird! Ist das wirklich die Homepage Ihrer Bank – oder könnte es sich um eine gefälschte Seite handeln? 

    Achtung: Bei echten Seiten finden Sie Merkmale wie z. B. das „https://“ einhergehend mit dem Schlosssymbol in der Adresszeile. Ist dies nicht der Fall: Finger weg!

 

Tipp: Generell empfiehlt es sich, den Link zur Homepage seiner Bank (um ins Online-Banking zu gelangen) immer händisch einzugeben. Zu diesem manuell eingetippten Link können Sie sich für die künftige Vereinfachung auf Ihrem persönlichen Rechner dann ein Lesezeichen anlegen. Abgeraten wird davon, die gewünschte Bankenseite über Suchplattformen wie Google & Co. aufzusuchen! Denn auch hier könnten Sie an betrügerisch gefälschte Seiten geraten.

 

 

Noch mehr Informationen und Sicherheitshinweise finden Sie auf unserer Homepage sowie in der dort zum Herunterladen angebotenen SpardaSicherheitsbroschüre.