Wie funktioniert die Betrugsmasche Quishing?
Der Begriff setzt sich aus QR und Fishing (aus dem Englischen: angeln) zusammen. Gemeint sind betrügerische QR-Codes. Schnell mit dem Smartphone eingescannt, führen sie die User auf gefälschte Internetseiten. Diese sehen manchmal dem Original zum Verwechseln ähnlich.
Dahinter stecken Betrüger, die es auf Geldzahlungen, Zugangsdaten von Bankkonten oder andere persönliche Informationen abgesehen haben. In manchen Fällen würden Opfer aufgefordert, Dokumente oder eine Rechnung mithilfe des QR-Codes herunterzuladen, erklärt Joachim Wagner, stellvertretender Pressesprecher des Bundesamts für Sicherheit in der Informationstechnik. Was der Quishing-Code jedoch stattdessen bewirkt: Die User laden sich durch den Download eine Schadsoftware auf ihr Gerät.
Quishing gewinne an Bedeutung, warnt Wagner. Denn QR-Codes würden immer häufiger im Alltag genutzt.
In welchen Bereichen kommt Quishing vor?
Die Bandbreite ist groß. „Die Methoden und Maschen werden immer vielfältiger“, sagt Joachim Wagner.
- Betrügerische QR-Codes würden über digitale Wege wie E-Mails oder Messaging-Apps verschickt.
- Gefälschte Codes sind schon an Ladesäulen für E-Autos oder auf Parkscheinautomaten aufgetaucht. „Die echten Codes werden dann mit Fälschungen überklebt, über die man auf eine manipulierte Bezahlseite kommt, die oft sehr echt aussieht“, erläutert Michèle Scherer, Referentin Digitale Welt bei der Verbraucherzentrale Brandenburg. Die Zahlungen gehen dann direkt bei den Betrügern ein.
- Laut Joachim Wagner wurden schon falsche Briefe von angeblichen Banken verschickt, in denen ein „photoTAN-Verfahren zur Sicherheit der Bankgeschäfte" aktualisiert werden soll. Dazu enthalte der Brief einen QR-Code, der auf eine präparierte Website führe: „Tippt man dort seine Daten ein, landen die direkt bei den Kriminellen.“
- Die Praxis einiger Städte, Falschparker-Strafzettel mit QR-Codes zur direkten Bezahlung zu verteilen, kann zur Betrugsfalle werden. Die Strafzettel würden nachgeahmt und mit gefälschten QR-Codes versehen.
- Auf manipulierte Codes kann man genauso gut an Orten wie Bushaltestellen, Bahnhöfen oder in der Gastronomie treffen. Restaurants verwenden für digitale Speisekarten gern QR-Codes.
Welche Schäden sind denkbar?
Zielen die Betrüger etwa auf Online-Kontodaten ab, können sie damit anschließend auf Shoppingtour gehen: „Dann ist es denkbar, dass ich nachher lauter Rechnungen im Briefkasten habe“, sagt Michèle Scherer.
Andere persönliche Daten wie Adressen oder Telefonnummern würden weiterverkauft oder für Identitätsdiebstähle verwendet. Das heißt, die Täter schließen mit den gestohlenen Daten Verträge ab.
Es habe auch den Fall gegeben, dass Kriminelle über eine gefälschte Zahlungsseite Geld vom Konto eines Opfers abgebucht und ihm zusätzlich ein Online-Abonnement untergeschoben hätten, berichtet Scherer.
Darüber hinaus verbreiten sich über die Quishing-Methode Dokumente und Programme mit Schadsoftware. Diese wiederum greift sensible Daten vom Endgerät ab.
Wie kann ich einen QR-Code testen?
„In allen Fällen ist die erste Schutzmaßnahme ein gesundes Misstrauen und Skepsis“, erläutert Joachim Wagner vom Bundesamt für Sicherheit in der Informationstechnik. Dies gelte vor allem bei QR-Codes für Zahlungen.
Verbraucherinnen und Verbraucher sollten technisch in der Lage sein, sich nach dem Scannen des QR-Codes und vor dem Öffnen der Website die Webadresse anzeigen zu lassen. So haben sie noch die Möglichkeit, die Seite zu überprüfen. „QR-Code-Scanner, die direkt auf die Seite führen, sollte ich nicht benutzen“, sagt Digitalexpertin Scherer. Das gelte sowohl für Apps speziell zum QR-Code-Scannen als auch für Kamera-Apps mit integrierter QR-Funktion.
Betrüger nutzten häufig eine URL, die der echten sehr ähnlich sei. Die gefälschte Adresse laute dann etwa „beispiel.de-123.com“ statt „beispiel.de/123“. Hier gelte es, genau hinzusehen und die Adressen vorab zu vergleichen. Im Zweifel sei es sinnvoll, den Anbieter vor einer Aktion telefonisch zu kontaktieren: „Aber nicht über die Nummer, die auf dem dubiosen Brief steht, sondern mit der richtigen Nummer“, so Scherer.
Bei alldem sollten Nutzer darauf achten, dass die QR-Scanner-App des Smartphones beziehungsweise die Kamera-App von einem vertrauenswürdigen Anbieter stammt und nicht selbst ein Sicherheitsrisiko darstellt. Die bekannten App-Stores seien zumindest tendenziell die sicherere Wahl, sagt Michèle Scherer.
Joachim Wagner weist auf Scanner-Apps hin, die URLs auf Bedrohungen prüfen, bevor sie im Browser geöffnet werden. Die Experten raten darüber hinaus zu einem aktuellen Virenscanner auf dem Endgerät.
Quishing-Angriffe erfolgen sogar per Brief
Wer Post von einer Bank bekomme, ohne hier Kunde zu sein, könne den Brief direkt wegwerfen, ergänzt Joachim Wagner. Bei einem Brief von der eigenen Bank sollte man im Online-Banking nachschauen, ob dort eine Nachricht mit Handlungsbedarf vorliege. Zusätzlich könne hier ein Telefonat mit dem Kundenberater hilfreich sein.
Überklebte Codes, angeblich erforderliche Berechtigungen? Vorsicht!
Unbedingt checken: Sind Codes an Ladesäulen und an anderen Orten in der Öffentlichkeit überklebt? „Ist dem so, sollte man den Code auf keinen Fall scannen“, sagt Wagner.
Vorsicht sei geboten, wenn QR-Codes an ungewöhnlichen Orten angebracht seien, in E-Mails von unbekannten Absendern verschickt würden oder auf verdächtigen Websites zu finden seien. Das gelte auch, wenn bei einem QR-Code beziehungsweise dem Link dahinter keine klaren Infos vorliegen, wohin er führt. Erst recht sind tolle Versprechungen ein Grund für Skepsis.
Der Vorgang sollte nicht nur dann unterbrochen werden, wenn die Adresse verdächtig aussehe oder nicht mit der erwarteten Domain übereinstimme: „Gleiches gilt, wenn nach dem Scannen eines QR-Codes eine App-Installation oder die Erteilung ungewöhnlicher Berechtigungen erforderlich ist.“
Was tun im Quishing-Fall?
„Man sollte relativ schnell handeln“, so Verbraucherschützerin Michèle Scherer. Bei Bedarf informieren Betrugsopfer die Bank oder das Kreditkarteninstitut und lassen die betreffende Karte sperren.
„Zudem kann man eine Betrugsmeldung bei der Bank einreichen und Anzeige bei der Polizei erstatten“, so Joachim Wagner. Dies sei besonders zu beherzigen, wenn finanzieller Schaden entstanden ist oder persönliche Daten ausgespäht wurden. Wurden auf der gefälschten Seite Anmeldeinformationen eingegeben, sind die Passwörter der betroffenen Konten unverzüglich zu ändern. Wer dasselbe Passwort für mehrere Konten verwendet habe, sollte auch dort das Passwort ändern.
Joachim Wagner rät zudem, die Zwei-Faktor-Authentifizierung für alle wichtigen E-Mail- und Bankkonten nachträglich zu aktivieren: „Dies erschwert es Angreifern, auf Ihre Konten zuzugreifen, selbst wenn sie Ihre Anmeldedaten haben.“ Bei der Zwei-Faktor-Authentifizierung handelt es sich um ein Online-Dienstleister-Verfahren, mit dem sich Nutzer zusätzlich oder alternativ zur Passworteingabe identifizieren können, wenn sie sich in ein Konto einloggen.
Michèle Scherer betont, dass echte Rechnungen und Mahnungen, die nach einem Betrugsfall im Briefkasten landen, ernst genommen werden sollten – selbst wenn sie auf illegale Shoppingtouren mithilfe von gestohlenen Daten zurückzuführen seien: „Man sollte sich mit den angeblichen Vertragspartnern in Verbindung setzen und darauf hinweisen, dass man keinen Vertrag abgeschlossen und Anzeige erstattet hat“, sagt die Expertin. Wie man unberechtigten Forderungen widersprechen kann, erklärt die Verbraucherzentrale mit einem Musterbrief.
Nach seinem Germanistik-Studium in Siegen und Köln arbeitete Tobias Christ als Redakteur und Pauschalist bei Tageszeitungen wie der „Siegener Zeitung“ oder dem „Kölner Stadt-Anzeiger“. Derzeit schreibt er als freier Journalist Beiträge für Print- oder Onlinemedien. Für aktiv recherchiert er vor allem Ratgeberartikel, etwa rund um die Themen Mobilität und Arbeitsrecht. Privat wandert der Kölner gern oder treibt sich auf Oldtimermessen herum.
Alle Beiträge des Autors
