QR-Code-Betrug: Neue Phishing-Welle bedroht Smartphone-Nutzer

Quishing-Attacken nehmen rasant zu. Die Maschen werden immer raffinierter und umgehen klassische Sicherheitsvorkehrungen. Deutsche Behörden und IT-Sicherheitsunternehmen warnen vor einer gefährlichen Welle von QR-Code-Phishing, das sogenannte Quishing. Diese Angriffe nutzen das Vertrauen in die allgegenwärtigen schwarz-weißen Codes aus, um an sensible Daten zu gelangen oder Schadsoftware zu installieren. Die Bedrohung zielt gezielt auf das schwächste Glied in der Sicherheitskette: das private Smartphone.

Quishing kombiniert QR-Codes mit klassischem Phishing. Die Angreifer platzieren manipulierte Codes sowohl digital in E-Mails als auch physisch im öffentlichen Raum. Ein beliebter Trick: Betrüger kleben gefälschte QR-Code-Aufkleber über echte Codes an Parkautomaten, Restaurant-Tischen oder Werbetafeln. Wer sie scannt, landet auf einer gefälschten Zahlungsseite oder einem täuschend echten Login-Portal.

In E-Mails nutzen Kriminelle eine besonders tückische Methode. Sie bauen den QR-Code nicht als Bild, sondern aus farbigen HTML-Tabellen-Zellen zusammen. Für den Empfänger sieht er aus wie ein normaler Code, für Sicherheitsscanner bleibt er jedoch unsichtbar. Die Nachricht fordert dann oft auf, den Code zur „Kontoverifizierung“ oder zur „Bestätigung der Zwei-Faktor-Authentifizierung“ zu scannen.

Passend zum Thema Quishing: QR‑Code-Phishing nutzt psychologische Tricks und private Smartphones als Einfallstor. Das kostenlose Anti-Phishing-Paket liefert eine praxisnahe 4‑Schritte-Anleitung, erklärt aktuelle Hacker-Methoden, psychologische Angriffsmuster und konkrete Abwehrmaßnahmen für Unternehmen und Privatnutzer. Mit branchenspezifischen Beispielen und sofort einsetzbaren Schutzmaßnahmen können Sie Risikoquellen erkennen und Angriffe verhindern. Fordern Sie den Gratis-Guide an und rüsten Sie sich gegen die nächste Welle von Quishing-Angriffen. Anti-Phishing-Paket jetzt herunterladen

Warum die Angriffe so erfolgreich sind

Der Erfolg von Quishing hat mehrere Gründe. Zum einen analysieren viele Sicherheitssysteme Bilder wie QR-Codes nicht auf bösartige Links. Zum anderen finden die Scans meist auf privaten Smartphones statt, die außerhalb der geschützten Unternehmensnetzwerke operieren. Diese Geräte haben oft nicht den gleichen Sicherheitsschutz wie Firmen-Laptops.

Hinzu kommt eine gefährliche Gewohnheit der Nutzer. Studien zeigen, dass ein Großteil der Menschen QR-Codes scannt, ohne vorher die dahinterstehende Webadresse zu prüfen. Diese Leichtgläubigkeit machen sich die Angreifer zunutze. Selbst nationalstaatliche Akteure wie die nordkoreanische Hackergruppe Kimsuky setzen laut FBI bereits auf Quishing, um an Zugangsdaten von Fachleuten zu gelangen.

Von „Brushing“ bis Kunst-QR: Die Tricks werden kreativer

Die Methoden der Kriminellen werden immer vielfältiger und ausgeklügelter. Eine neue Masche ist das sogenannte „Brushing“. Dabei erhalten Opfer unbestellte Pakete mit einer Aufforderung, einen beiliegenden QR-Code zu scannen, um mehr über das „Geschenk“ zu erfahren. Die Neugier und das Vertrauen in ein physisches Objekt treiben die Menschen dazu, den Code zu scannen.

Gleichzeitig setzen Angreifer auf optische Täuschung. Sie gestalten künstlerische QR-Codes mit Logos, Farben und ungewöhnlichen Formen. Diese sehen seriöser aus und verwirren automatische Erkennungstools, die nach dem standardmäßigen schwarz-weißen Raster suchen. Sie imitieren geschickt das Corporate Design bekannter Marken.

Was Nutzer und Unternehmen jetzt tun müssen

Die Verteidigung gegen Quishing erfordert vor allem Wachsamkeit und Aufklärung. Sicherheitsexperten raten zu einem einfachen, aber effektiven Prinzip: Scannen Sie niemals einen QR-Code aus einer unsicheren oder unbekannten Quelle. Besondere Vorsicht ist bei unerwarteten E-Mails, Paketen oder öffentlich angebrachten Codes geboten.

Praktische Tipps für den Alltag:
* URL prüfen: Nach dem Scan zeigt das Smartphone die Ziel-Webadresse an. Überprüfen Sie diese sorgfältig, bevor Sie die Seite öffnen.
* Direkt navigieren: Bei verdächtigen Aufforderungen – etwa zur Passwort-Änderung – besuchen Sie die Website des Dienstes immer manuell über den Browser.
* Sicherheits-Apps nutzen: Anbieter wie McAfee entwickeln bereits Tools, die QR-Codes in Echtzeit auf schädliche Links überprüfen können.

Für Unternehmen bedeutet der Trend eine fundamentale Herausforderung. Die Angriffsfläche verschiebt sich von verwalteten Firmenrechnern auf private Mobilgeräte. Firmen müssen ihre Sicherheitsstrategien anpassen und Mitarbeiter speziell für die Gefahren durch QR-Codes sensibilisieren. In einer Welt, in der QR-Codes vom Speisekarten bis zur Ticketbuchung allgegenwärtig sind, ist gesundes Misstrauen der beste Schutz.

PS: Wussten Sie, dass viele Unternehmen durch kreative Quishing-Maschen wie Brushing oder künstlerische QR-Codes überrascht werden? Das Anti-Phishing-Paket bietet praxisnahe Checklisten, Vorlagen und Mitarbeiter-Trainingsempfehlungen, damit Smartphones und mobile Arbeitsplätze sicher bleiben. Nutzen Sie sofort umsetzbare Regeln für das Scannen von Codes, E-Mail-Checks und Awareness-Maßnahmen – ideal für IT-Verantwortliche und alle, die ihre Risiken minimieren wollen. Jetzt Anti-Phishing-Paket anfordern