Mittlerweile haben wir uns an das Scannen von QR-Codes in unserem Alltag gewöhnt. Sei es, dass wir das Elektroauto an einer Ladesäule aufladen wollen, dass wir einen E-Scooter für die kurze Fahrt von der Straßenbahnhaltestelle ins Büro mieten oder ein QR-Code auf der Müsli-Packung gedruckt ist, der zu einem Gewinnspiel führt. Ein QR-Code kann aber auch zu einer Datenschutzerklärung führen oder zu einer Park-App, die das Bezahlen des Parkscheins erleichtert, wenn gerade kein Kleingeld zur Hand ist.

Der zweidimensionale Code, der ursprünglich in Japan entwickelt wurde, kann bequem mit dem Mobiltelefon abgescannt werden und führt die Benutzerin oder den Benutzer, ohne dass eine händische Eingabe einer Webseitenadresse erforderlich ist, schnell zu einer Website. Informationen sind auf diese Art und Weise schnell erreichbar und bspw. Buchungen bzw. Bezahlvorgänge können schnell und bequem durchgeführt werden.

Abzocke mit QR-Codes

Was vielen nicht bekannt ist: Hinter einem QR-Code können auch Betrüger stecken, die die Nutzerin und den Nutzer des QR-Codes abzocken möchten. Eine solche Masche nennt sich „Quishing“. Der Begriff setzt sich aus dem Wort „Phishing“, also dem betrügerischen Entlocken von sensiblen Daten und dem Wort „QR-Code“ zusammen.

Für die Betrugsmasche werden die QR-Codes in verschiedenen Varianten eingesetzt, um Personen zu einem Besuch von bösartigen Websites zu verleiten. Hat die Person dann erst einmal die bösartige Website aufgerufen, soll sie zur Eingabe verschiedener Daten verleitet werden. In der Regel zielen die Betrüger hierbei darauf ab, an Zahlungsdaten der Opfer zu gelangen, um diese für eigene betrügerische Zwecke zu verwenden.

Bösartige QR-Codes können sich bspw. auf Ladesäulen, E-Scootern oder auch Parkscheinautomaten befinden. Dort können die „echten“ QR-Codes von den Tätern mit den bösartigen QR-Codes überklebt worden sein, was dann in der Eile nicht auffällt. In anderen Fällen werden die bösartigen QR-Codes aber auch per Brief versandt oder auf Kleinanzeigen-Plattformen bspw. von potentiellen Käufern verschickt. Nach dem QR-Code-Scan werden die Opfer dann dazu verleitet, bspw. ihre Online-Banking-Daten auf der bösartigen Website einzugeben, ihren Personalausweis abzufotografieren und PushTANs in ihrer Banking-App zu bestätigen. Der vermeintlich bequeme Weg über den QR-Code-Scan führt dann zu einem von den Betrügern leer geräumten Konto.

Wie kann man sich gegen die Betrüger schützen?

Die QR-Codes sind aus unserem Alltag nicht mehr wegzudenken. Mit den Kameras, die in jedem Mobiltelefon eingebaut sind und zusätzlich mit einer App, die die QR-Codes dekodieren kann, lassen sich schnell und einfach Websites aufrufen, um Informationen abzurufen und Alltagsgeschäfte zu erledigen. Dennoch sollten wir, bevor wir die QR-Codes abscannen auf Folgendes achten, um Betrügern nicht auf den Leim zu gehen:

  • Verwenden Sie QR-Code-Scanner oder Apps, die vorher die URL (Webseitenadresse) der Ziel-Website anzeigen; Checken Sie damit gegen, ob Sie tatsächlich zur gewünschten Website weitergeleitet werden;
  • Laden Sie Apps zum Bezahlen von E-Scootern, an Ladesäulen, Parkscheinautomaten usw. nur aus den offiziellen App-Stores herunter;
  • Geben Sie keine Online-Banking-Daten und keine Personalausweisdaten an Unberechtigte heraus;
  • Halten Sie sich über aktuelle Quishing-Warnungen über die Website des Verbraucherzentrale NRW e.V. auf dem Laufenden und sensibilisieren Sie Familie, Freunde und Bekannte in Ihrem Umkreis.