Quishing ist das neue Phishing. Vorsicht beim Scannen von QR-Codes

Irgendwie hatten sich QR-Codes bei uns in Deutschland nicht richtig durchgesetzt. Einst waren QR-Codes die klobigen Relikte der Lagerlogistik. Doch seit der Pandemie erleben sie ein Revival. Ob auf der Speisekarte, am Parkautomaten oder auf Konzertplakaten – die kleinen Quadrate sind überall. Genau hier liegt das Problem. Denn was von Nutzen ist, kann auch für Betrugsmaschen genutzt werden. Willkommen in der Ära von Quishing. Dieser Begriff, ein Mashup aus QR-Code und Phishing, beschreibt einen der am schnellsten wachsenden Cyber-Trends.

Quishing: Vom Komfort zum Problem

Quishing nutzt die psychologische Bequemlichkeit, die wir uns über Jahre antrainiert haben. Anstatt auf einen verdächtigen Link in einer Mail zu klicken, scannen wir einen Code. Das Ziel? Eine perfekt geklonte Website, die deine Daten abgreift – vom Google-Login bis zur Kreditkartennummer. Besonders dreist: Kriminelle überkleben echte QR-Codes auf Parkuhren oder in Cafés mit ihren eigenen Stickern. Während du denkst, du bezahlst nur kurz dein Ticket, servierst du Betrüger*innen deine finanziellen Details auf dem Silbertablett. Das FBI und europäische Behörden warnen bereits vor dieser globalen Welle, die längst den Mainstream erreicht hat.

Geopolitik trifft auf Tech-Scams

Dass Quishing mehr als nur kleiner Taschendiebstahl ist, zeigen Berichte über staatlich geförderte Cyberkriminalität. Nordkoreanische Gruppen wie Kimsuky nutzen bösartige QR-Codes in E-Mails, um gezielt Think Tanks zu attackieren. Der strategische Vorteil ist simpel: QR-Codes sind Bilder. Herkömmliche Sicherheitsfilter, die Texte und Links scannen, werden so oft einfach umgangen. Da der Scan meist am Smartphone stattfindet, verlassen die Opfer zudem den geschützten Bereich ihrer Firmen-Endpoints. Es ist ein kalkulierter Move, der die Grenze zwischen privater Bequemlichkeit und professioneller Sicherheit verwischt.

Die Psychologie des Scans

Warum fallen wir überhaupt auf diese Betrugsmasche rein? Weil ein QR-Code unser Misstrauen senkt. Die Codes fühlen sich harmlos an, weil sie Teil unseres modernen Lebensstils geworden sind. Schätzungen gehen von Millionen Quishing-Bedrohungen jährlich aus, Tendenz steigend. Die Scammer passen sich dabei ständig an, ändern Farben und Formate, um Detektions-Tools immer einen Schritt voraus zu sein.

Dein Essential-Guide: So bleibst du vor Quishing sicher

Einen QR-Code nicht zu nutzen, ist in vielen Situationen keine Option. Aber wir müssen auch nicht ängstlich werden. Betrüger*innen nutzen aus, dass wir Menschen bequem sind und oft Dinge nicht hinterfragen oder Extraschritte unternehmen, um uns zu schützen. Hier ist die Checkliste, um die Gefahr vor Onlinebetrug wie Quishing kleiner zu halten.

• Physical Check: Schau dir den QR-Code genau an. Klebt da ein Sticker über dem Original? Wirkt das Material am Parkautomaten oder auf dem Plakat billig oder unsauber platziert? Wenn ja: Finger weg.

• Preview-Check: Nutze die Vorschau-Funktion deines Smartphones. Moderne Kameras zeigen die URL an, bevor du sie öffnest. Achte auf Buchstabendreher oder kryptische Domain-Endungen.

• Native Apps statt Drittanbieter: Verwende die integrierte Kamera-App deines iPhones oder Android-Geräts. Kostenlose Drittanbieter-Scanner aus den App-Stores sind oft selbst eine Daten-Falle oder vernachlässigen Sicherheitsfeatures.

• Keine sensiblen Daten via Scan: Ein QR-Code sollte niemals der Startpunkt für eine Passworteingabe oder eine Kreditkartenzahlung sein. Wenn eine Seite dich dazu auffordert, geh lieber manuell über die offizielle Website oder App des Anbieters.

• Multi-Faktor-Authentifizierung (MFA): Der absolute Standard. Selbst wenn Scammer dein Passwort abgreifen, kommen sie ohne den zweiten Faktor nicht weit.

• Updates: Halte dein Betriebssystem aktuell. Patches für Browser und Kamera-Apps schließen oft genau die Lücken, die Quishing-Attacken erst ermöglichen.