QR-Codes sind praktisch geworden. Du scannst einen Aufkleber am Tisch und landest auf der Speisekarte, fotografierst den Code auf der Rechnung und öffnest das Zahlungsformular. Genau diese Selbstverständlichkeit machen sich Betrüger zunutze.
Quishing ist Phishing über QR-Codes. Statt eines verdächtigen Links in einer E-Mail bekommst Du ein harmloses Quadrat zu sehen, dessen Ziel Du erst kennst, wenn die Kamera es bereits geöffnet hat. Für Selbständige und kleine Unternehmen ist das doppelt heikel, weil der Betrug oft über gefälschte Geschäftspost läuft.
Die gute Nachricht ist, dass Du Quishing mit denselben ruhigen Prüfschritten erkennst, die auch bei klassischen Phishing-Mails greifen. Du brauchst keine Technik, nur ein paar bewusste Sekunden vor dem Scan.
Was Quishing eigentlich ist
Ein QR-Code ist nichts weiter als ein optisch verpackter Link. Dein Handy liest das Muster, übersetzt es in eine Webadresse und ruft sie auf. Das Problem dabei ist, dass Du dem Quadrat nicht ansiehst, wohin es führt.
Bei einer Phishing-Mail kannst Du mit der Maus über einen Link fahren und die Zieladresse lesen, bevor Du klickst. Beim QR-Code fällt dieser Schutz weg, weil das Ziel im Muster versteckt ist. Angreifer nutzen genau diese Lücke, um Dich auf gefälschte Login-Seiten oder manipulierte Zahlungsformulare zu lotsen.
Oft führt der Code auf eine Seite, die der echten zum Verwechseln ähnlich sieht. Du gibst Deine Zugangsdaten oder Bankverbindung ein, und die landen direkt beim Angreifer. Die Masche ist eine Variante des klassischen Phishings, deshalb hilft Dir das Wissen aus dem Beitrag Phishing-Mails erkennen auch hier weiter.
Verbreitet hat sich Quishing, weil ein QR-Code Spamfilter mühelos umgeht. Eine bösartige Webadresse als Text in einer Mail wird oft erkannt und aussortiert, dasselbe Ziel als Bildmuster im Anhang dagegen rutscht ungeprüft durch. So landet der Angriff direkt auf Deinem Bildschirm.
Wo Dir Quishing begegnet
Die Quadrate tauchen längst nicht mehr nur am Restauranttisch auf. Betrüger platzieren sie überall dort, wo Menschen schnell und ohne Nachdenken scannen. Drei Orte solltest Du besonders im Blick haben.
- Plakate und Aufkleber: Auf Werbeflächen, an Parkautomaten oder Ladesäulen wird ein echter Code mit einem aufgeklebten gefälschten überklebt. Du siehst keinen Unterschied.
- Briefe und gefälschte Rechnungen: Ein offiziell wirkendes Schreiben fordert Dich auf, über den abgedruckten Code eine Gebühr zu begleichen oder Daten zu bestätigen. Der Briefkopf sieht echt aus.
- Parkautomaten und Terminals: Ein Code verspricht bequeme Zahlung per Handy und leitet stattdessen auf eine nachgebaute Bezahlseite.
Gerade gefälschte Rechnungen treffen Selbständige hart, weil Geschäftspost im Alltag schnell und routiniert abgearbeitet wird. Eine Preisliste, in der die Zahlen plausibel wirken, bringt Dich eher zum unbedachten Scannen als eine plumpe Spam-Mail.
Woran Du den Betrug erkennst
Quishing lebt davon, dass Du nicht hinschaust. Sobald Du Dir ein paar Sekunden nimmst, fallen die Warnzeichen meist deutlich aus. Dein Handy zeigt nach dem Scan immer zuerst die Zieladresse an, bevor die Seite geladen wird.
Lies diese Adresse, bevor Du auf Öffnen tippst. Achte auf Tippfehler in der Domain, auf zusätzliche Wörter vor dem eigentlichen Firmennamen und auf fremde Endungen. Eine Adresse wie kundenportal-bank-sicherheit.example wirkt seriös, hat mit Deiner Bank aber nichts zu tun.
Stutzig werden solltest Du auch, wenn ein aufgeklebter Code über einem anderen klebt, wenn ein Schreiben Dringlichkeit erzeugt oder wenn nach dem Scan sofort Zugangsdaten oder Zahlungsinformationen verlangt werden. Ein echter Dienst drängt Dich selten zu einer Eingabe direkt nach dem Scan. Weil Quishing gezielt mit Vertrauen und Druck arbeitet, lohnt der Blick in den Beitrag Social Engineering erkennen, der diese psychologischen Hebel im Detail beschreibt.
Wie Du Dich und Deine Kunden schützt
Schutz vor Quishing ist vor allem eine Frage der Gewohnheit. Wenn Du Dir das kurze Innehalten vor dem Scan antrainierst, nimmst Du dem Angriff seine wichtigste Voraussetzung. Diese Schritte helfen Dir im Alltag.
- Vorschau prüfen: Lies die angezeigte Adresse, bevor Du die Seite öffnest, und brich im Zweifel ab.
- Quelle hinterfragen: Scanne keine Codes aus unerwarteten Briefen oder von beschädigten Aufklebern. Tippe die bekannte Adresse lieber selbst ein.
- Keine Daten nach dem Scan: Gib Zugangsdaten und Bankverbindung niemals auf einer Seite ein, die Du nur über einen gescannten Code erreicht hast.
- Team sensibilisieren: Sprich mit Mitarbeitenden über die Masche, damit eingehende Rechnungen mit QR-Code kritisch geprüft werden.
Hilfreich ist außerdem ein Authenticator oder ein Passwortmanager, der Zugangsdaten nur auf der echten Domain ausfüllt. Stimmt die Adresse nach einem Scan nicht, bleibt das Feld leer, und genau dieses Schweigen ist Dein deutlichstes Warnsignal.
Setzt Du selbst QR-Codes für Deine Kunden ein, etwa auf Flyern oder Visitenkarten, dann schützt Du sie durch saubere und nachvollziehbare Adressen. Worauf es beim seriösen Einsatz ankommt, liest Du im Beitrag QR-Codes vom Flyer auf Deine Webseite.
Fazit
Quishing verpackt altbekanntes Phishing in ein bequemes Quadrat und setzt darauf, dass die Bequemlichkeit Dein Misstrauen überstimmt. Die Masche funktioniert nur so lange, wie Du gedankenlos scannst.
Mit dem kurzen Blick auf die Zieladresse, gesundem Misstrauen bei unerwarteter Post und einem sensibilisierten Team nimmst Du dem Betrug den Wind aus den Segeln. Diese ruhige Disziplin schützt Dich und Deine Kunden zuverlässiger als jedes Werkzeug.