Quishing – Betrug mit QR-Codes!

Was ist Quishing?

Quishing ist eine Form des Phishings. Der Begriff setzt sich aus QR-Code und Phishing zusammen. Der Unterschied zu klassischen Phishing-Angriffen besteht darin, dass Kriminelle keinen sichtbaren Link verwenden, sondern diesen hinter einem QR-Code verstecken.

Nach dem Scannen führt der QR-Code häufig auf eine gefälschte Webseite. Diese kann zum Beispiel wie die Seite einer Bank, eines Online-Händlers, eines Paketdienstes oder eines anderen bekannten Anbieters aussehen. Dort werden die Opfer aufgefordert, persönliche Daten einzugeben, etwa Log-in-Daten, Passwörter, Bankdaten, Telefonnummern oder andere vertrauliche Informationen.

QR-Codes können in E-Mails, auf Flyern, auf Automaten, in Restaurants oder Clubs angebracht sein. Besonders gefährlich sind auch gefälschte Briefe, die scheinbar von Banken, Behörden oder bekannten Unternehmen stammen. Ziel der Kriminellen ist es, an vertrauliche Daten zu gelangen, um Geld zu stehlen oder weitere Straftaten zu begehen.

Warum ist Quishing so gefährlich?

Quishing ist besonders gefährlich, weil Smartphones die völlig unverdächtig aussehenden Codes scannen – die Website kann sofort geöffnet werden. Die Anwender:innen achten meistens nicht auf die tatsächliche Webadresse, die auch der realen oft sehr ähnlich ist. Weiters ist der Umgang mit QR-Codes heutzutage sehr normal und unverfänglich.

Achten Sie auf folgende Warnsignale:

  • Offensichtlich nachträglich angebrachte Pickerl mit einem Code
  • Druck zum raschen Handeln („sofort scannen…“) oder die Drohung, dass eine Berechtigung abläuft, etc.
  • Die Webadresse passt nicht zum behaupteten Anbieter
  • Unerwartete E-Mails mit QR-Codes oder E-Mails, bei denen der Anhang eines QR-Codes unüblich ist
  • E-Mails oder Briefe mit unpersönlicher Anrede („Lieber Kunde, liebe Kundin!“)
  • Nach Scannen des QR-Codes werden Sie aufgefordert, Daten einzugeben

Wie kann ich mich vor Quishing schützen?

  • Unpersönlich adressierte Anschreiben, egal ob analog oder digital, werden meistens an tausende Personen gleichzeitig versandt („Spam“). Ignorieren Sie solche Nachrichten, auch wenn sie sehr wichtig aussehen, und zum „dringenden Handeln“ auffordern.
  • Öffnen Sie keine Anhänge aus solchen unerwarteten E-Mails oder E-Mails mit unbekannten Absendern. Folgen Sie auch keinen Links oder scannen QR-Codes.
  • Scannen Sie keine QR-Codes „zum Spaß“ oder aus Neugier. Achten Sie besonders im öffentlichen Raum auf die beschriebenen Warnsignale bei QR-Codes.
  • Achten Sie nach dem Scannen ganz genau auf die Bezeichnung der Webadresse, die am Bildschirm angezeigt wird. Hinterfragen Sie, ob diese stimmen kann. Achten Sie besonders auf die Domain, wenn diese beispielsweise auf .at enden sollte, aber etwas anderes dort steht.
  • Geben Sie keinesfalls Daten in Online-Portale ein, wenn Sie über einen Link dorthin gelangt sind. Besuchen Sie die offiziellen Seiten der jeweiligen Unternehmen oder Institute oder kontaktieren Sie einen Mitarbeitenden.
  • Lassen Sie sich nicht durch drängende Aufforderungen unter Druck setzen.

Was tue ich, wenn ich Opfer von Quishing geworden bin?

  • Wenn Sie bereits vertrauliche Daten wie Log-ins, Passwörter, Bankdaten aller Art, Telefonnummern oder Ähnliches eingegeben haben, kontaktieren Sie das „echte“ Unternehmen und geben Sie den Sachverhalt bekannt. Lassen Sie Ihr Konto sperren oder ändern Sie zumindest sofort die Zugangsdaten (achten Sie auf ein sicheres Passwort – mehr als 12 Zeichen, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen kombiniert).
  • Erstatten Sie eine Anzeige bei der Polizei und nehmen Sie alles mit, was als Beweis dienen könnte (Wo war der QR-Code angebracht? Auf welche URL hat er geführt? Was für ein Schaden ist entstanden?). Screenshots und gespeicherte Inhalte können hilfreich sein.

Weitere Informationen finden Sie auf www.bundeskriminalamt.at oder auf jeder Polizeiinspektion