QR-Codes gehören mittlerweile zum Alltag vieler Menschen. Ob in Restaurants, bei der Parkplatzbezahlung oder auf Werbematerialien – die kleinen quadratischen Codes bieten eine schnelle und einfache Möglichkeit, Informationen mit einem Smartphone abzurufen. Doch diese praktische Technologie birgt auch Gefahren, denn böse Akteure nutzen sie zunehmend für sogenannte Quishing-Angriffe, eine spezielle Form des Phishings rund um QR-Codes. Quishing, kurz für QR-Code-Phishing, bezeichnet Betrugsmaschen, bei denen es Kriminellen gelingt, Nutzer dazu zu bringen, gefälschte QR-Codes zu scannen, um an sensible Daten oder Zugangsdaten zu gelangen. Die Gefahr ist dabei besonders hoch, da QR-Codes optisch kaum von echten Codes zu unterscheiden sind und Nutzer oft unbedacht auf sie zugreifen.
QR-Codes funktionieren als zweidimensionale Barcodes, die durch das Scannen mit einer Smartphone-Kamera eine darin hinterlegte Information, meist eine Website-URL, öffnen. Gerade während der Corona-Pandemie erlebten QR-Codes einen regelrechten Boom, als viele Restaurants ihre Menüs digital über QR-Codes anboten, um physischen Kontakt und die Verbreitung von Viren zu vermeiden. Diese Verbreitung machte QR-Codes zu einem lukrativen Ziel für Kriminelle, die sie als perfekte Tarnung verwenden, um ahnungslose Nutzer auf falsche Webseiten zu locken. Die ausgeklügelte Masche hinter Quishing funktioniert meist so, dass Betrüger gefälschte QR-Code-Aufkleber im öffentlichen Raum anbringen, die über die echten Codes geklebt werden. Dadurch gelangen Menschen beim Scannen auf manipulierte Websites, die oft täuschend echt wirken.
In diesen Fällen werden Benutzer dann aufgefordert, persönliche Informationen wie Passwörter, Bankdaten oder Sozialversicherungsnummern einzugeben. Sobald diese Daten in die Hände der Betrüger gelangen, können sie finanzielle Schäden anrichten oder Identitätsdiebstahl betreiben. Die Zielgruppe von Quishing-Angriffen ist dabei sehr breit gefächert. Es gibt kaum eine demografische Gruppe, die nicht betroffen sein kann, da QR-Codes überall präsent sind und für den Laien schwer zu überprüfen. Besonders öffentlich zugängliche Orte wie Parkplätze, Werbetafeln oder auch E-Mails bieten Kriminellen effektive Einstiegspunkte.
Dabei sind QR-Codes in E-Mails besonders heimtückisch, wenn Betrüger sich als offizielle Institutionen ausgeben und so das Vertrauen der Empfänger ausnutzen. Um sich effektiv gegen Quishing zu schützen, ist ein wachsames Auge und das richtige Verhalten entscheidend. Bereits beim Betrachten eines QR-Codes sollte man aufmerksam sein und prüfen, ob Auffälligkeiten erkennbar sind. Unregelmäßigkeiten bei der Platzierung oder merkwürdige zusätzliche Aufkleber können Hinweise darauf sein, dass der Code manipuliert wurde. Wer misstrauisch ist, sollte lieber auf eine direkte Eingabe der bekannten Webadresse setzen, als blind einen unbekannten QR-Code zu scannen.
Nach dem Scannen eines Codes gilt es, genau hinzuschauen auf die angezeigte URL. Wenn die Internetadresse ungewöhnlich aussieht oder Tippfehler und merkwürdige Endungen enthält, ist Vorsicht geboten. Oft imitieren die Betrüger Websites bekannter Marken oder Behörden, legen aber kleine Veränderungen ins URL-Feld, die auf den ersten Blick nicht auffallen. Auch sollten Nutzer niemals persönliche oder finanzielle Daten auf einer Website eingeben, sofern sie über einen QR-Code mit unsicherer Herkunft dorthin gelangen. Abgesehen von individueller Vorsicht gibt es weitere Möglichkeiten, sich vor Quishing zu schützen.
Das regelmäßige Aktualisieren von Betriebssystemen und Sicherheitssoftware kann viele Angriffsszenarien bereits im Vorfeld verhindern oder die Erkennung von schädlichen Seiten verbessern. Moderne Smartphones bieten Sicherheitsfunktionen, die bei Gefahr warnen können – diese sollten stets aktiviert sein. Des Weiteren empfiehlt es sich, für Online-Anmeldungen und sensible Konten stets starke und einzigartige Passwörter zu verwenden. Bei Verdacht auf einen Datenleak oder eine unsichere Webseite helfen Passwortmanager, wie zum Beispiel Proton Pass, die Zugangsdetails sicher zu verwalten und bei Kompromittierung schnell zu reagieren. Nutzer sollten sich immer bewusst machen, dass eine legitime Firma oder Institution niemals per QR-Code direkt zur Eingabe von Bankinformationen oder Sozialdaten auffordert.
Die Verbreitung von QR-Codes wird in Zukunft weiter zunehmen und damit auch die Gefahrenquelle für Quishing. Dennoch muss niemand auf diese einfache Technik verzichten, wenn er die richtigen Sicherheitsvorkehrungen trifft. Es ist besonders wichtig, aufmerksam zu sein und im Zweifel lieber eine Website manuell anzusteuern, statt unbedacht einem QR-Code zu vertrauen. Wer auf einen verdächtigen oder manipulierten QR-Code stößt, sollte diesen umgehend dem betreffenden Unternehmen und den Behörden melden. In Deutschland ist beispielsweise die Meldung bei der Verbraucherzentrale oder dem Bundesamt für Sicherheit in der Informationstechnik (BSI) empfehlenswert.
Auch die Online-Beschwerdestelle der Federal Trade Commission (FTC) in den USA kann Hinweise zu Quishing-Skandalen aufnehmen und helfen, solche Betrügereien zu unterbinden. Zusammenfassend lässt sich sagen, dass ein gesundes Misstrauen gegenüber unbekannten QR-Codes, das Überprüfen von URLs, das Vermeiden der Eingabe sensibler Daten sowie das Pflegen einer guten digitalen Hygiene grundlegend sind, um sich wirkungsvoll gegen Quishing zu schützen. QR-Codes bieten enorme Bequemlichkeit im Alltag, doch diese Bequemlichkeit darf nicht zur Sicherheitslücke werden. Indem wir uns besser informieren und wachsam bleiben, können wir die Vorteile moderner Technik genießen und gleichzeitig unsere Privatsphäre und finanzielle Sicherheit bewahren.
