Betrug mit QR-Codes
, So schützen Sie sich vor Quishing

Ende 2024 warnte die BaFin vor mehr Betrugsversuchen durch Quishing: Betrüger nutzen QR-Codes, um auf gefälschte Internetseiten zu locken und z. B. Bankdaten zu stehlen. Erfahren Sie, wie die Betrugsmasche funktioniert und wie Sie sich schützen können.

Icon mit Warndreieck

Inhaltsverzeichnis

  • Was ist Quishing?
  • Die häufigsten Arten von QR-Code-Phishing
  • Wie kann ich mich vor Quishing-Angriffen schützen?
  • In die Quishing-Falle getappt? Was jetzt zu tun ist!
  • Ihre Sicherheit steht bei uns an erster Stelle

    • Quishing
    , Das Wichtigste in Kürze

    • Beim Quishing setzen Kriminelle gefälschte QR-Codes auf Briefen, Rechnungen oder Parkautomaten ein, um sensiblen Daten wie Kennwörter oder Zugangsdaten zu stehlen.
    • Wenn Sie unsicher bezüglich eines QR-Codes sind, können Sie die Ziel-URL hinter dem QR-Code z. B. mit speziellen QR-Scanner-Apps prüfen, um gefälschte Webseiten zu erkennen.
    • Falls Sie Ihre Konto- oder Kartendaten doch einmal auf einer Quishing-Webseite eingegeben haben, sperren Sie sofort Ihr Online Banking und Ihre Karten, um weiteren Schaden zu vermeiden.

    Phishing mit QR-Code
    , Was ist Quishing?

    Quishing setzt sich aus den Begriffen "QR-Code" und "Phishing" zusammen. QR-Codes sind nichts anderes als “verschleierte” Links zu Webseiten. Bei Quishing handelt es sich um eine spezielle Form des Phishings, bei der Cyberkriminelle QR-Codes nutzen, um auf betrügerische Webseiten zu verlinken und dann an vertrauliche Daten wie PINs, Passwörter oder Kreditkartendaten zu gelangen.

    Diese betrügerischen QR-Codes können in verschiedenen Formen auftreten:

    • Physisch: Auf scheinbar echten Briefen, Rechnungen, Parkautomaten, Plakaten oder E-Ladesäulen
    • Digital: In E-Mails, auf Webseiten oder über soziale Netzwerke

    Wie laufen Quishing-Attacken ab?

    Beim Quishing werden Opfer dazu verleitet, einen QR-Code mit ihrem Smartphone zu scannen – eine Handlung, die für viele Menschen mittlerweile zum Alltag gehört. Nach dem Scannen werden sie auf eine gefälschte Webseite weitergeleitet, die seriösen Seiten sehr ähnlich ist. Dort werden sie aufgefordert, sensible Informationen wie Konto- oder Anmeldedaten einzugeben, die dann abgegriffen werden. Mit den erbeuteten Daten können Cyberkriminelle unter anderem Überweisungen im Namen der Quishing-Opfer durchführen oder weitere betrügerische Aktivitäten vornehmen.

    Weitere Informationen: Mehr darüber, wie Cyberkriminelle sogar die 2-Faktor-Authentifizierung umgehen und wie Sie sich schützen können, erfahren Sie in unserem Artikel: "Geben Sie Phishing keine Chance".

    Wie funktionieren QR-Codes?

    QR-Codes (Kurzform für "Quick Response", auf Deutsch: "schnelle Antwort") sind zweidimensionale Barcodes. Über diese Codes können digitale Informationen wie Weblinks, Kontaktdaten oder Zahlungsinformationen übertragen werden. Nutzer schätzen die Bequemlichkeit von QR-Codes, denn sie sparen sich damit die manuelle Eingabe. Die Verwendung von QR-Codes ist vielfältig und reicht von Werbung bis hin zu digitalen Zahlungen. Da der Inhalt eines QR-Codes nicht auf den ersten Blick ersichtlich ist, können die Codes von Cyberkriminellen missbraucht werden.

    Gut zu wissen: Mit einem entsprechenden Tool oder einer App kann jeder online innerhalb von Sekunden einen QR-Code generieren und diesen mit beliebigen Links verknüpfen.

    Außerdem gibt es bestimmte Scanner-Apps, mit denen sich jeder die genaue Ziel-URL hinter einem QR-Code anzeigen lassen kann.

    Aktuelle Betrugsmaschen
    , Die häufigsten Arten von QR-Code-Phishing

    Die Betrüger erfinden ständig neue Tricks, um Menschen zu täuschen – von Phishing-Briefen mit QR-Codes bis hin zu gefälschten Strafzetteln. Hier erklären wir dir die häufigsten Maschen. Um auf dem Laufenden zu bleiben, informieren Sie sich am besten regelmäßig über aktuelle Betrugstaktiken.

    Quishing mit gefälschten Bankbriefen

    Seit einiger Zeit werden besonders häufig Phishing-Briefe im Namen verschiedener Banken verschickt. Diese enthalten einen QR-Code, der angeblich für einen Aktualisierungsprozess erforderlich ist. Der Code führt jedoch auf eine gefälschte Webseite, auf der die Empfänger ihre Zugangsdaten zum Online Banking eingeben und eine Kopie der photoTAN-Aktivierungsgrafik teilen sollen. Mit diesen Informationen erlangen die Betrüger Zugang zu den Konten der Opfer.

    Quishing per QR-Code auf Rechnungen

    QR-Codes können auch wichtige Rechnungsdaten enthalten – eine Fotoüberweisung ermöglicht ein schnelles Bezahlen per QR-Code ohne manuelles Eingeben von Informationen. Leider versenden auch Betrüger Rechnungen mit QR-Codes, sei es per Post oder E-Mail. Beim Scannen des Codes z.B. mit der Banking App, wird die Überweisung automatisch mit den Zahlungs- bzw. Empfängerdaten des Betrügers vorbefüllt. Deshalb ist es wichtig, sich genau die IBAN des Empfängers anzuschauen und zu prüfen, ob diese korrekt ist.

    Quishing an Parkautomaten und öffentlichen Orten

    Manipulierte QR-Codes wurden auch schon an Parkautomaten und E-Ladesäulen, auf Plakaten, Flyern und an anderen öffentlichen Orten gefunden. Auch diese Codes haben das Ziel, sensible Daten wie Kontoinformationen, Kreditkartendaten oder persönliche Angaben wie Adresse und Telefonnummer zu stehlen.

    Quishing mit falschen Strafzetteln

    In einigen Städten stellen Ordnungsämter oder die Polizei Strafzettel mit QR-Codes aus, mit denen Autofahrer die Strafe direkt bezahlen können. Kriminelle nutzen dies aus, indem sie falsche Strafzettel unter die Scheibenwischer parkender Fahrzeuge klemmen. Solche Fälle wurden bereits bundesweit gemeldet.

    Prävention
    , Wie kann ich mich vor Quishing-Angriffen schützen?

    Um sich wirksam vor Quishing-zu schützen, sollten Sie einige grundlegende Sicherheitsmaßnahmen im Alltag beachten:
    • Vorsicht beim Scannen von QR-Codes:
      Scannen Sie nur QR-Codes aus vertrauenswürdigen Quellen und vermeiden Sie unbekannte oder zufällig platzierte Codes. Nutzen Sie Geräte oder Apps, die vor dem Öffnen einer mit einem QR-Code verknüpften Website eine URL-Vorschau anzeigen.
    • URLs sorgfältig prüfen:
      Einen betrügerischen QR-Code können Sie nur durch Überprüfung der dahinterliegenden Webadresse erkennen, nicht am QR-Code selbst. Achten Sie daher auf kleine Abweichungen in der URL. Betrügerische Seiten tarnen sich oft durch leicht veränderte URLs, z. B. "www.c0mmerzbank.de" statt www.commerzbank.de. Wenn die Quelle im Ausland liegt und die URL eine andere Endung hat (beispielsweise ".ru" statt ".de"), kann das ebenfalls ein Hinweis auf Betrug sein.
    • Überklebte QR-Codes erkennen:
      Besonders an öffentlichen Orten wie Park- oder Ladesäulen sollten Sie darauf achten, ob QR-Codes manipuliert wurden. Ein überklebter, leicht erhabener Sticker kann ein Hinweis darauf sein, dass Sie einen gefälschten Code vor sich haben.
    • Überweisungsdaten kontrollieren:
      Wenn Sie Rechnungen per QR-Code bezahlen, prüfen Sie die Kontodaten sorgfältig. Vergleichen Sie die Angaben mit früheren Rechnungen oder recherchieren Sie die offiziellen Kontodaten des Empfängers. Im Zweifelsfall kontaktieren Sie den Rechnungssteller direkt, um die Echtheit zu bestätigen.
    • Misstrauen bei sensiblen Anfragen:
      Seien Sie besonders vorsichtig, wenn Sie per QR-Code aufgefordert werden, sich im Online Banking anzumelden oder Bankdaten einzugeben – auch bei physischen Briefen. Nutzen Sie stattdessen die manuelle Eingabe der offiziellen Bank-URL und kontaktieren Sie bei Unklarheiten Ihre Bank bzw. den vermeintlichen Absender direkt über die offiziellen Kanäle.

    Soforthilfe
    , In die Quishing-Falle getappt? Was jetzt zu tun ist!

    Wenn Sie feststellen oder befürchten, dass Sie Opfer eines Quishing-Angriffs geworden sind, gilt: Bleiben Sie ruhig und handeln Sie überlegt. Gehen Sie am besten wie folgt vor:

    Bank kontaktieren:
    Falls Sie befürchten, Ihre Kontodaten auf einer gefälschten Webseite eingegeben zu haben, kontaktieren Sie Ihre Bank über die offiziellen Kontaktwege. Ihre Bank unterstützt Sie bei der Klärung Ihres Sachverhalts und hilft Ihnen bei weiteren Schritten. Die Commerzbank erreichen Sie rund um die Uhr unter folgenden Nummern:

    Privatkunden: 069 5 8000 8000
    Unternehmer: 069 5 8000 9000

    Zugänge sperren:
    Wenn Sie bereits auf einen Phishing-Link in der Mail geklickt und Ihre Zugangsdaten zum Online Banking eingegeben haben, sperren Sie Ihr Online Banking selbst oder kontaktieren Sie uns rund um die Uhr über die Sperr-Hotline unter der Rufnummer 069 50 50 27 86.

    Kreditkarten sperren:
    Falls Ihre Kreditkartendaten betroffen sind, können Sie die Kreditkarte ebenfalls per Online Banking oder Banking-App sperren oder Sie nehmen mit der folgenden Rufnummer telefonischen Kontakt auf: 0049 69 66 57 19 99.

    Online Sicherheit bei der Commerzbank
    , Ihre Sicherheit steht bei uns an erster Stelle

    Höchste Sicherheitsstandards:

    Unser Online Banking und Mobile Banking wird regelmäßig von spezialisierten Sicherheitsteams überprüft, getestet und kontinuierlich weiterentwickelt.

    Deaktivierung betrügerischer Webseiten:

    Haben wir eine Phishing-Seite entdeckt, kümmern wir uns schnellstmöglich um die Abschaltung – meist gelingt dies kurzfristig.

    2-Faktor-Authentifizierung:

    Für den Zugang zum Online Banking nutzen wir die 2-Faktor-Authentifizierung (2-FA) als zusätzliche Sicherheitsmaßnahme. Sie bietet einen verbesserten Schutz, auch wenn sie Quishing nicht vollständig ausschließen kann.

    Persönliche Beratung:

    Bei Fragen oder Sicherheitsbedenken im Online Banking steht Ihnen unsere Kundenhotline jederzeit zur Verfügung.

    Weiterführende Informationen

  • Wir informieren Sie aktuell und umfangreich zum Thema Cybersicherheit
  • Phishing-Radar: Aktuelle Warnungen der Verbraucherzentrale
  • Weiterführende Informationen auf den Webseiten des Bundesamt für Sicherheit in der Informationstechnik BSI

    • Das könnte Sie auch interessieren:

    Smishing: So erkennen Sie betrügerische SMS

    Sie haben eine SMS von Ihrer Bank erhalten, die Sie auffordert, Anmeldedaten preiszugeben? Vorsicht: Es könnte sich um Smishing handeln.

    Identitätsdiebstahl: So schützen Sie sich vor Datenklau im Internet

    Shoppen, buchen, bezahlen: Unser Leben im Netz bietet Hackern immer mehr Möglichkeiten, Nutzerdaten zu stehlen und zu missbrauchen.

    Karten-Phishing: Tipps zum Schutz Ihrer Kartendaten

    Zahlungskarten sind äußerst beliebt, da sie das Bezahlen in Geschäften und online schnell und komfortabel machen. Leider sind sie auch ein häufiges Ziel von Kriminellen. Erfahren Sie,...