Quishing: gefälschte QR-Codes im öffentlichen Raum
Auf Parkautomaten, Ladesäulen und Bußgeldern aufgeklebte QR-Codes leiten auf gefälschte Zahlungsseiten weiter. Ein kurzer Blick genügt nicht.
Quishing, eine Wortmischung aus QR-Code und Phishing, breitet sich aus. Das Prinzip ist einfach: Ein gefälschter QR-Code wird über den echten geklebt, auf einem Parkautomaten, einer Ladesäule, einem Plakat, oder in einen gefälschten Bußgeldbescheid eingeschoben. Einmal gescannt, öffnet er eine Zahlungsseite, die einen offiziellen Dienst nachahmt.
Warum das funktioniert
Ein QR-Code lässt sich nicht mit bloßem Auge lesen. Es ist unmöglich zu wissen, auf welche Adresse er verweist, bevor man ihn öffnet. Das Opfer glaubt sich auf einem Zahlungsdienst für Parkgebühren oder Bußgelder und gibt seine Kartendaten vertrauensvoll ein. Die Betrüger gestalten die Zielseite sorgfältig, damit sie wie eine offizielle Website aussieht.
So erkennen Sie den Betrug
- Schauen Sie nach dem Scannen auf die von Ihrem Telefon angezeigte Adresse, bevor Sie fortfahren. Eine unbekannte, falsch geschriebene Domain oder eine mit ungewöhnlicher Endung sollte zum Abbruch führen.
- Seien Sie misstrauisch bei einem Aufkleber, der nachträglich angebracht, abgelöst oder schief auf einem öffentlichen Gerät aufgeklebt wirkt.
- Eine Parkgebühr oder ein Bußgeld läuft über bekannte offizielle Kanäle, nicht über einen anonymen QR-Code.
Was zu tun ist
- Zahlen Sie nicht über einen im öffentlichen Raum angetroffenen QR-Code. Nutzen Sie die App oder die offizielle Website, die Sie kennen.
- Wenn Sie gezahlt haben, lassen Sie Ihre Karte bei Ihrer Bank sperren.
- Melden Sie den gefälschten QR-Code dem Betreiber des Ortes und über die zuständige Meldeplattform.
Bevor Sie nach dem Scannen eines QR-Codes eine Zahlung bestätigen, kopieren Sie die Adresse und analysieren Sie sie, um eine gefälschte Seite zu erkennen.