Quishing: QR-Code-Betrug an Ladesäulen, Parkautomaten und in E-Mails
Warnung: Manipulierte QR-Codes an öffentlichen Orten
Das Bundeskriminalamt und die Verbraucherzentralen warnen vor einer Zunahme von Quishing-Angriffen. Kriminelle überkleben QR-Codes an E-Auto-Ladesäulen, Parkautomaten und Fahrradverleihstationen mit gefälschten Codes, die auf Phishing-Seiten führen.
Was ist Quishing und warum nimmt es zu?
QR-Codes sind aus dem Alltag nicht mehr wegzudenken: An Ladesäulen starten sie den Ladevorgang, an Parkautomaten ermöglichen sie die bargeldlose Bezahlung, in Restaurants rufen sie die Speisekarte auf. Genau diese Allgegenwärtigkeit nutzen Kriminelle aus.
Beim Quishing überkleben Betrüger den originalen QR-Code mit einem manipulierten Aufkleber. Der gefälschte Code leitet auf eine täuschend echte Phishing-Webseite, die die Zahlungsdaten des Opfers abgreift. Im Unterschied zu E-Mail-Phishing ist Quishing besonders tückisch, weil die Opfer im öffentlichen Raum weniger misstrauisch sind und QR-Codes nicht vorab auf Echtheit prüfen können.
Die Betrugsform hat sich seit 2024 vervielfacht. Das liegt an der steigenden Verbreitung von QR-Code-Zahlungen und daran, dass herkömmliche Spam-Filter QR-Codes in E-Mails und Briefen nicht erkennen – sie sehen nur ein Bild, keinen verdächtigen Link.
Wo Quishing im Alltag lauert
| Ort / Medium | Betrugsmasche |
|---|---|
| E-Auto-Ladesäule | Überklebter QR-Code leitet auf gefälschte Zahlungsseite des Ladeanbieter |
| Parkautomat | Fake-QR-Code führt zu imitierter Park-App-Zahlungsseite |
| Bankbrief per Post | QR-Code im Brief leitet auf nachgebaute Online-Banking-Seite |
| E-Mail mit QR-Code | QR-Code umgeht Spam-Filter, Ziel ist Credential-Diebstahl |
| Restaurant-Tisch | Aufkleber über Original-QR leitet auf Phishing-Seite statt Speisekarte |
| Fahrrad-/E-Scooter-Verleih | Gefälschter QR-Code imitiert die Freischaltung des Fahrzeugs |
So erkennen Sie manipulierte QR-Codes
- Prüfen Sie, ob ein Aufkleber über dem originalen QR-Code angebracht wurde – achten Sie auf erhabene Kanten oder unterschiedliches Papier
- Kontrollieren Sie nach dem Scannen die angezeigte URL, bevor Sie sie öffnen
- Seriöse Zahlungsanbieter nutzen immer HTTPS und ihre offizielle Domain
- Seien Sie misstrauisch bei ungewöhnlichen Zahlungsaufforderungen oder Dateneingaben
- Vergleichen Sie den QR-Code ggf. mit dem eines Nachbargeräts (z. B. benachbarte Ladesäule)
Tipp: Offizielle Apps nutzen
Nutzen Sie zum Laden Ihres E-Autos, zum Parken oder für Leihfahrräder immer die offizielle App des Anbieters. Dort ist die Zahlungsabwicklung gesichert und ein Quishing-Angriff ausgeschlossen.
Quishing per Brief und E-Mail
Neben dem physischen Überkleben setzen Betrüger QR-Codes auch gezielt in gefälschten Briefen und E-Mails ein. Der Vorteil für die Kriminellen: E-Mail-Spam-Filter erkennen QR-Codes im Bildformat nicht als verdächtig, da der eigentliche Link erst nach dem Scannen sichtbar wird.
Häufig kommen diese Briefe im Namen von Banken, Energieversorgern oder Finanzämtern. Sie fordern dazu auf, den QR-Code zu scannen, um Kontodaten zu aktualisieren, eine Erstattung abzurufen oder eine Identitätsprüfung durchzuführen.
Was tun bei Quishing-Verdacht?
- Keine Daten eingeben: Wenn nach dem Scannen eine Seite Zahlungsdaten oder Passwörter verlangt, schließen Sie den Browser sofort.
- Bank kontaktieren: Haben Sie bereits Daten eingegeben, lassen Sie Ihre Karte sofort sperren und prüfen Sie Kontobewegungen.
- Betreiber informieren: Melden Sie den manipulierten QR-Code dem Betreiber der Ladesäule oder des Parkautomaten.
- Anzeige erstatten: Dokumentieren Sie den gefälschten QR-Code mit einem Foto und erstatten Sie Anzeige bei der Polizei.