2000 Euro Schaden statt Parkschein: Ein gefälschter QR-Code kann teuer werden. Die Betrugsmasche Quishing taucht beim Parken oder in Fake-Briefen auf. Doch wir können uns davor schützen.
QR-Codes machen das Leben leichter: Smartphone raus und zum Beispiel die Speisekarte im Restaurant per Scan ansteuern, statt mühsam einen Link einzutippen. Doch Betrüger*innen nutzen die praktische Funktion für eine neue Masche aus: Quishing, also das Phishing mit QR-Codes.
Das funktioniert so: Wo man über einen QR-Code bezahlen kann – wie zum Beispiel an Parkscheinautomaten oder E-Ladesäulen – kleben Betrüger*innen einfach ihre eigenen Fake-QR-Codes über die echten.
Misstrauen hilft
"Es gab in letzter Zeit mehrere Betrugsversuche in Städten wie Berlin, Frankfurt, Hannover oder Freiburg", erklärt Deutschlandfunk-Nova-Reporter Johannes Döbbelt. Der gefälschte QR-Code führt zu einer echt aussehenden Seite. Gibt man dort seine Konto- oder Kreditkartendaten ein, kann das richtig teuer werden.
So ging es etwa einer Frau in Baden-Baden, die durch diese Masche um 2000 Euro betrogen wurde. Und bei einem falschen QR-Code an einer Ladesäule in Berlin ist ein Mann misstrauisch geworden, als er Geld nach Rumänien überweisen sollte. "Wer hinter dem Betrug steckt, ist noch nicht klar", erklärt Johannes Döbbelt.
QR-Code-Betrug auch per Brief
Doch nicht nur im öffentlichen Raum können QR-Codes gefälscht sein. Im vergangenen Jahr erhielten Zehntausende Kunden der Commerzbank einen täuschend echt aussehenden Brief. Darin stand, dass aus Sicherheitsgründen das Tan-Verfahren bei der Bank aktualisiert werden müsse. Der QR-Code führte ebenfalls zu einer Betrugsseite.
Und auch über Suchmaschinen kann man Betrüger*innen reicher machen: Eine Kundin suchte bei Google nach dem Login ihrer Online-Bank. Statt auf die echte führte die Suchmaschine sie auf eine Fake-Seite. Dort sollte sie ihr Handy mit dem Bank-Account via QR-Code verknüpfen. Das machte sie. Der Schaden: 2000 Euro.
Tipps gegen Quishing
Wie oft Quishing auftaucht, ist nicht klar, weil es noch keine Statistik dazu gibt. "Bislang ist es eher eine Sammlung von Einzelfällen aus Deutschland und dem europäischen Ausland", erklärt Deutschlandfunk-Nova-Reporter Johannes Döbbelt. Dort sind vor allem Ladesäulen betroffen – wie auf dem Titelbild, das eine gefälschte Ladesäule in Belgien zeigt. Polizei, Banken und Verbraucherschutzorganisationen warnen deshalb vor dieser Betrugsmasche.
Doch wie kann man sich vor gefälschten QR-Codes schützen? Von außen ist erst einmal schwer zu erkennen, ob ein QR-Code echt ist. Banken empfehlen, nie in einer Suchmaschine nach Login-Seiten zu suchen, sondern die App zu nutzen oder die korrekte Seite über die Bank-Startseite anzusteuern und als Lesezeichen zu speichern.
Im Zweifel: Seite verlassen
Das Europäische Verbraucherzentrum rät sogar, möglichst nie über einen QR-Code zu bezahlen. Und wenn doch, sollte man ein paar Punkte beachten: Auf einer Parkuhr schauen, ob der Code überklebt aussieht und eine andere Folie hat als der Rest.
Außerdem sollte man den Link genau überprüfen. Schon beim Scannen zeigt das Smartphone ja eine Vorschau an – sieht das seriös oder verdächtig aus? Dasselbe gilt auch für die Seite, zu der der Link führt: Sieht die echt aus? Hat sie ein Impressum? Im Zweifel gilt dann: Weg von der Seite.