Quishing: Experten warnen vor neuer Betrugsmasche
Sie sehen aus wie normale QR-Codes, doch es steckt Betrug hinter den kleinen Quadraten, klären IT-Experten des Versicherers Arag über das sogenannte „Quishing“ auf. Kriminelle nutzen die falschen Codes, um an persönliche Daten und sogar Geld ihrer Opfer zu gelangen. Wie die neue Betrugsmasche funktioniert, woran man sie erkennt und wie man sich schützen kann – die Tipps der Arag-Fachleute.
Quishing ist ein Kofferwort aus „QR-Code“ und „Phishing“. Letzteres wiederum ist ein Kunstwort, zusammengesetzt aus „Passwort“ und dem englischen Wort „Fishing“. Im übertragenen Sinne meint Quishing also das Fischen nach Passwörtern mittels QR-Code. Ein QR-Code besteht aus vielen kleinen Quadraten, die Informationen, meist eine Internet-Adresse, enthalten. Mit einem Smartphone gescannt, öffnet sich die zugehörige Webseite. Doch hier liegt die Tücke: Nicht alle Smartphones zeigen den Inhalt des QR-Codes an, bevor sie die Webseite öffnen. Einige Geräte leiten Nutzer direkt weiter, ohne zuvor die Adresse der Internetseite anzuzeigen. Gerade dies machen sich Kriminelle zunutze, indem sie ihre eigenen betrügerischen QR-Codes so platzieren, dass sie auf gefälschte Webseiten führen. Dort versuchen sie, sensible Daten abzufangen oder sogar direkte Geldtransfers zu veranlassen.
So läuft der Quishing-Betrug im Alltag
Vorsicht sei etwa bei Briefen oder E-Mails von Banken geboten, in denen beispielsweise zur Aktualisierung des photoTAN-Verfahrens aufgefordert wird, warnen die Fachleute des Versicherers Arag. Diese gefälschten Nachrichten enthalten einen QR-Code, der jedoch auf eine von Kriminellen betriebene Webseite führt. Von den meisten Virenscannern wird der Code nur als Bild erkannt, sodass betrügerische Mails als ungefährlich eingestuft werden und im Postfach landen. Die echte Bank hat mit dem Schreiben oder der Mail nichts zu tun. In der Regel sind diese Fake-Nachrichten nicht personalisiert, sondern sprechen den Kontoinhaber im Allgemeinen an.
Auch auf manipulierte QR-Codes an Ladesäulen für Elektro-Autos machen die Arag-Experten aufmerksam. Hier werden gefälschte QR-Codes über die Original-Codes der Anbieter geklebt. Diese Codes sollten eigentlich zur Bezahlung des Ladevorgangs führen, leiten jedoch ebenfalls direkt auf die Internetseiten der Kriminellen. Eine weitere Quishing-Betrugsmasche wartet an geparkten Fahrzeugen: Dabei werden falsche Strafzettel mit QR-Codes unter die Scheibenwischer geklemmt. Autofahrer sollten hier besonders vorsichtig sein und den vermeintlichen Strafzettel bei der Polizei überprüfen lassen, bevor sie die Strafe bezahlen.
Genau prüfen: Wie sich Verbraucher schützen können
Die Arag IT-Experten raten, QR-Codes nur dann zu scannen, wenn man ihre Herkunft kennt und ihnen vertraut. Die Kamera-App des Smartphones sollte nur genutzt werden, wenn diese die gescannte Internetadresse vor dem Öffnen der Seite anzeigt. So können Nutzer die Webseite prüfen, bevor sie auf sie zugreifen. Bei ungewöhnlichen Briefen oder Mails ist besondere Vorsicht angesagt, vor allem, wenn die Nachrichten einen QR-Code enthalten, der den Empfängern suspekt erscheint. Ist dies der Fall, sollten die Verbraucher vor dem Scannen des Codes den Absender recherchieren. Am besten ruft man den Absender direkt an – aber nicht über die im Brief oder in der Mail angegebene Telefonnummer, sondern über die offiziellen Kontaktdaten des Unternehmens.
Nutzer von E-Ladesäulen sollten genau überprüfen, ob der QR-Code an der Säule überklebt wurde. Bestehen Zweifel, sollte die Kunden und Kundinnen stattdessen andere Zahlungsmethoden wie beispielsweise eine App oder eine Ladekarte verwenden. Ist der Betrugsfall allerdings schon eingetreten, raten die Fachleute zu schnellem Handeln. Die Opfer sollten sich sofort an die Polizei wenden. Wer bereits Geld überwiesen hat, sollte umgehend seine Bank informieren oder den Sperr-Notruf unter 116 116 anrufen, um weiteren Schaden zu verhindern.
Gibt es Versicherungen gegen Quishing-Betrug?
Einige Cyberversicherungen decken solche Betrugsmaschen ab. Dann gilt Quishing als eine Unterform des Phishings, das in vielen Policen abgesichert ist. Es lohnt sich also, den Versicherungsschutz genau zu prüfen. Sollte man durch einen Quishing-Betrug persönliche Daten verlieren, greift bei einigen Anbietern der Schutz gegen Identitätsmissbrauch. Doch in Fällen, in denen der Geschädigte selbst Geld überwiesen hat (etwa bei gefälschten Strafzetteln), bestehe in der Regel kein Versicherungsschutz, informiert die Arag.