Die als Phishing bezeichnete als Betrugsmethode ist unter Kriminellen beliebt. Mit gefälschten E-Mails und Webseiten versuchen sie ihren Opfern etwa Identitätsmerkmale zu stehlen oder ihnen Schadsoftware unterzujubeln. Nun gewinnt eine Abwandlung dieser Methode zunehmend an Popularität, das sogenannte Quishing. Dabei wird – wie sich aus dem Namen ableiten lässt – nicht auf E-Mails, sondern auf QR-Codes gesetzt, die eine gefälschte Webseite aufrufen.
QR-Codes: Betrugsmasche weitet sich aus
Zuletzt hatte diese Betrugsmethode bereits an Parkautomaten für Furore gesorgt. Diese wurden mit gefälschten QR-Codes beklebt, sodass die ahnungslosen Opfer ihre Gebühren auf ein falsches Konto zahlten oder den Kriminellen ihre Bankdaten vollends überließen. Allerdings handelt es sich allem Anschein nach nur um die Spitze des Eisbergs, wie die Verbraucherzentrale unterstreicht.
In den vergangenen Monaten wurden demnach immer wieder gefälschte QR-Codes gefunden, etwa auf Werbeanzeigen von Verkehrsbetrieben. Andere Betrüger verteilten gefälschte Strafzettel für falsches Parken oder überklebten die Codes von Ladesäulen für E-Autos mit den ihren. Selbst gefälschte Schreiben von Banken wurden bereits verteilt.
Quishing ist nur schwer zu erkennen
Beim Betrug mit gefälschten QR-Codes nutzen die Kriminellen nicht nur die Unbedarftheit der Nutzer aus, die sich von einer nachgemachten E-Mail oder Webseite täuschen lassen. Vielmehr profitieren sie oftmals von Situationen im Alltag. In diesen fehlt den Betroffenen oftmals die nötige Aufmerksamkeit, um die Verdachtsmomente zu erkennen. Denn die gibt es durchaus.
Generell sollte man bei aufgeklebten QR-Codes Vorsicht walten lassen bzw. diese ignorieren. Von seriösen Anbieter von Diensten kann etwa erwartet werden, dass diese so weit auf die jeweiligen Automaten zugreifen können, dass ihre Codes auf dem Display angezeigt werden. Auch die Adresse, auf die nach dem Code-Scan gezeigt wird, sollte kritisch geprüft werden. Das setzt natürlich eine Scan-App voraus, die genau das unterstützt. Werden von dieser kryptische Namen oder auch nur Domains angezeigt, die zweifelhaft erscheinen, sollten diese besser nicht aufgerufen werden.
Noch achtsamer solltest du bei Prospekten und Briefen sein, die den Weg in deinen Briefkasten finden. In einem solchen Fall können auch die dort angegebenen Kontaktdaten gefälscht sein. Auf Nummer sicher geht, wer die E-Mail-Adresse oder Telefonnummer der Service-Hotline zumindest mit den Angaben an anderer Stelle, etwa der offiziellen Webseite, abgleicht.
QR-Code nicht gleich QR-Code
Eine Reihe von Anbieter von mit QR-Codes verknüpften Diensten setzen zudem Sicherheitsvorkehrungen, die nicht ignoriert werden sollten. Das gilt etwa bei Codes, die von Banken stammen. Diese entsprechen zwar optisch und funktional dem Standard. Um Attacken wie Quishing zu verhindern, tragen sie jedoch eigene Sicherheitsmerkmale in sich, die nur von einer jeweils eigenen Scan-App erkannt werden. Lässt sich also das Muster mit einer beliebige Lese-App entschlüsseln, ist besondere Vorsicht geboten.
Das gilt auch bei Fahrkarten. Hier wurde vom Internationalen Eisenbahnverband der sogenannte Aztec-Code als Standard festgelegt, der ausschließlich von entsprechend zertifizierten Stellen ausgegeben wird und ebenfalls nur von bestimmten Apps erkannt wird. Ein einfaches Nachahmen ist damit nicht mehr ganz so leicht möglich.