Quishing: Bankdaten stehlen per QR-Code

Ergo Quishing Grafik die ein Smartphone mit einem QR Code in einer Nachricht zeigt und mit einem roten Warndreieck vor gefahren warnen soll. — Ergo

QR-Codes sind praktisch, schnell und längst alltäglich. Doch hinter dem scheinbar harmlosen Quadratmuster kann sich laut Ergo eine neue Betrugsmasche verbergen. „Quishing“ nenne sich die Methode, bei der Cyberkriminelle QR-Codes manipulieren, um an Bankdaten zu gelangen oder Schadsoftware einzuschleusen.

Phishing E-Mails oder gefälschte Nachrichten, die vermeintlich von der Bank stammen, seien den meisten Menschen inzwischen ein Begriff. Jetzt kursiere seit einiger Zeit eine neue Betrugsmasche, das sogenannte Quishing. Dabei würden Cyberkriminelle gefälschte oder manipulierte QR-Codes nutzen, um an sensible, persönliche Daten zu gelangen oder Schadsoftware zu verbreiten. Der Begriff sei ein Kofferwort aus „QR“ (Quick Response Code) und „Phishing“ und beschreibe eine Form des Phishing-Angriffs über QR-Codes. Das perfide dabei sei, dass im Gegensatz zu schädlichen Links wie in einer E-Mail, QR-Codes nicht automatisch von Antivirensoftware geprüft werden könnten.

Wie Quishing funktioniert – und warum es so gefährlich ist

Quishing beginne immer mit einem scheinbar harmlosen QR-Code. Betrüger platzieren ihn laut Ergo (Website) auf Plakaten, in E-Mails, in Briefen oder an öffentlichen Orten. Besonders begehrt seien Zugangsdaten zum Online-Banking oder zu E-Mail-Konten, Kreditkarteninformationen, Bankverbindungen oder persönliche Daten wie Name, Adresse, Geburtsdatum oder Telefonnummer. Gefälschte QR-Codes würden zum Beispiel den Zugang zu einer Paketverfolgung, das Abhören einer Sprachnachricht oder schnelles Bezahlen, etwa an einem Parkautomaten vortäuschen.

Wer den Code scannt, gelangt nicht auf eine seriöse Webseite, sondern auf eine täuschend echt gestaltete Fälschung. Dort fordert die Seite zum Eingeben von Passwörtern, Zahlungsinformationen oder persönlichen Angaben auf“, erklärt die Digitalexpertin. „In manchen Fällen startet nach dem Scan sogar sofort ein schädlicher Download, der das Smartphone infiziert.“

Alina Gedde, Digitalexpertin bei Ergo

Auch E-Mails oder SMS mit QR-Codes, die einen fragwürdigen Absender haben oder dringendes Handeln verlangen, würden zu den typischen Warnzeichen gehören. Nach dem Scan seien eine fehlende HTTPS-Verschlüsselung oder eine ungewöhnliche Internetadresse mit Tippfehlern oder unbekannten Domains Indizien für einen Betrug. Spätestens dann, wenn eine Webseite direkt nach Passwörtern, Zahlungsinformationen oder persönlichen Daten fragt, bestehe akute Gefahr.

Sensible Daten schützen

Am sichersten bleibe der Scan von QR-Codes aus vertrauenswürdigen Quellen wie offiziellen Webseiten oder bekannten Unternehmen. Vor jeder Eingabe lohne sich ein genauer Blick auf die Adresse im Browser: Nur eine korrekte Domain mit HTTPS-Verschlüsselung sei vertrauenswürdig. Persönliche Daten wie Logins oder Zahlungsangaben würden niemals auf Seiten gehören, bei denen Zweifel bestehen.

Taucht beim Scannen ein ungutes Gefühl auf, gelte es sofort zu stoppen und keine Daten mehr einzugeben. Im Anschluss lohne sich ein gründlicher Check des Smartphones, um Schadsoftware oder unerwünschte Apps zu finden und zu entfernen.ft