QR-Codes sind im Alltag weit verbreitet: Sie dienen als Zugticket oder Bordkarte oder leiten den Nutzer – mit dem Handy gescannt – zu Fahrplänen, Speisekarten, Werbefilmchen oder Erläuterungen zum Museumsrundgang. Kein Wunder also, dass auch Betrüger sich die praktischen Codes zunutze machen. "Quishing" nennt sich die Masche, die in letzter Zeit in immer neuen Varianten genutzt wurde. Die Polizei in Bremen und Niedersachsen rät zur Vorsicht.
Was ist Quishing?
Quishing ist eine Variante des Phishing (vom englischen Wort "Fishing" für Angeln), also des betrügerischen Versuchs, mithilfe von gefälschten Websites, E-Mails oder Kurznachrichten an Geld oder sensible Daten wie Pins und Passwörter zu gelangen. Beim Quishing dient statt eines Links ein QR-Code dazu, das Opfer auf die gefälschte Website der Betrüger zu locken. Die Codes, die aus einem scheinbar wahllosen Muster aus schwarzen und weißen Quadraten und Rechtecken bestehen, waren ursprünglich in den 1990er-Jahren in der Automobillogistik eingeführt worden, um Bauteile und Komponenten zu kennzeichnen.
Wie gehen die Täter vor?
Eine "beispielhafte Vorgehensweise" beschreibt Nils Matthiesen, Sprecher der Bremer Polizei: Die Opfer erhalten eine vermeintliche Mitteilung ihrer Bank, die einen QR-Code enthält. Beim Scannen dieses Codes werden sie auf eine täuschend echt aussehende, aber gefälschte Website geleitet. Dort werden sie aufgefordert, ihre Bankdaten – angeblich aus Sicherheitsgründen – zu "aktualisieren" oder sogar einen Geldtransfer zu veranlassen. "Da gängige Sicherheitslösungen betrügerische QR-Codes oft nicht erkennen können, bleibt das Risiko, dass Nutzerinnen und Nutzer in die Falle tappen", erklärt Matthiesen. Vor dieser Art des Betrugs warnte kürzlich auch das Landeskriminalamt Niedersachsen.
Wie werden gefälschte QR-Codes noch eingesetzt?
In München fanden sich zuletzt Plastiktüten mit vermeintlichen Unterlagen zu einem Bitcoin-Guthaben über 10.000 Euro auf der Straße – als hätte sie jemand verloren. Wer sie findet und sich von der Aussicht auf das Geld verlocken lässt, wird aufgefordert, einen QR-Code zu scannen. Dieser führt auf eine (gefälschte) Website, auf der der Finder angewiesen wird, vor Auszahlung des Geldes eine Bearbeitungsgebühr von drei Prozent zu entrichten. Folgt man der Anweisung, ist man sein Geld los, erhält jedoch statt der 10.000 Euro eine Fehlermeldung, warnt das bayerische LKA. Beobachtet wurden die falschen QR-Codes in letzter Zeit auch an E-Ladesäulen, wo Autofahrer zum Bezahlen auf eine Website der Betrüger gelockt werden. In Berlin und anderen Städten tauchten gefälschte Strafzettel für Falschparker auf: Ausgestellt wurden diese nicht vom Ordnungsamt oder der Polizei, sondern von Ganoven, die das "Bußgeld" per aufgedrucktem QR-Code kassieren wollen.
Ist Quishing eine neue Masche?
Nein, das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte bereits 2012 davor. Damals hatten die Täter QR-Codes auf Werbeplakaten mit ihren eigenen Codes überklebt, um die Nutzer auf ihre Website zu locken. Seitdem gibt es diese Betrugsmasche in unterschiedlichen Varianten. "Quishing ist zwar nicht neu, aber weiterhin eine recht unbekannte Form des Phishings", meint Polizeisprecher Matthiesen. In Bremen wurde in den letzten Monaten nur ein Fall angezeigt. Die Ermittlungen dazu habe die Kriminalpolizei aufgenommen.
Wie kann man sich vor Quishing schützen?
Generell sollte man bei der Nutzung von QR-Codes genauso vorsichtig sein wie beim Umgang mit unbekannten E-Mails oder Anhängen. "Scannen Sie nur QR-Codes, wenn Sie sicher sind, dass der Absender vertrauenswürdig ist", rät Matthiesen. Im Zweifelsfall sollte man dort über die offiziellen Kommunikationswege nachfragen, bevor man den QR-Code nutzt.
Kann man falsche QR-Codes erkennen?
Nicht direkt, da die codierte Information aus Quadraten und Rechtecken für das Auge nicht lesbar ist. Die Verbraucherzentrale rät dazu, einen QR-Scanner zu verwenden, der die in dem Code enthaltene Information, zum Beispiel die Adresse einer Website, zunächst anzeigt und nicht direkt umsetzt. Auf E-Ladesäulen sollte man darauf achten, ob der QR-Code des Betreibers möglicherweise überklebt wurde.
Und wenn man doch auf den Betrug reingefallen ist?
Die Polizei bittet darum, umgehend über den Vorfall informiert zu werden. Falls bereits Geld gezahlt wurde, sollten auch die Bank sofort eingeschaltet oder das Konto über den Notruf 116 116 gesperrt werden.
