In den letzten Monaten häuft sich bundesweit eine Betrugsmasche, bei der die Opfer im Zusammenhang mit Online-Zahlungen über gefälschte QR-Codes gezielt auf eine Internetseite geführt werden. Auf dieser Seite werden die Opfer dann aufgefordert, ihre Zugangsdaten einzugeben oder eine Geldüberweisung zu tätigen - und damit geben sie ihre Daten den Betrügern preis.

»Quishing« heißt diese neue Methode. Das Wort ist eine Kombination aus QR-Code und Phishing. Während die Opfer beim Phishing aufgefordert werden, Links in Mails anzuklicken, die sie dann zu Fakeseiten führen, funktioniert »Quishing« über manipulierte QR-Codes. Diese können sich in Briefen von angeblichen Kreditinstituten befinden, sind aber auch schon an Ladesäulen für E-Autos gemeldet worden oder auf angeblichen Strafzetteln für Falschparker. Auch im Zusammenhang mit Inseraten auf Online-Verkaufsplattformen kommt dieser Betrug vor. Die späteren Opfer wollen etwas kaufen oder verkaufen und der als Interessent oder Verkäufer getarnte Täter übermittelt einen QR-Code. Diesen QR-Code nutzen die Täter, um unbefugt Kreditkartendaten, Bankdaten oder Passwörter abzufangen.

Das Delikt stellt damit in der Regel einen Computerbetrug (gemäß § 263a StGB) in Tateinheit mit Ausspähen von Daten (gem. § 202a StGB) dar.

Tipps zum Schutz vor Quishing

• Scannen Sie einen QR-Code nur, wenn Sie sich sicher sind, dass er seriös ist. Inzwischen erkennen viele Smartphones einen QR-Code über die Kamera-App. Die sollten Sie aber nur nutzen, wenn die Infos des Codes (z.B. Internet-Adresse) zunächst angezeigt und nicht direkt geöffnet werden. Sehen Sie sich die Adresse genau an und lassen Sie die Internetseite nur dann öffnen, wenn Sie sicher sind, dass sie dem echten Anbieter gehört.
• Zeigt Ihre Kamera oder Ihr QR-Code-Scanner vor dem Öffnen einer Internetseite die Adresse nicht an, informieren Sie sich über seriöse Apps, die das machen, installieren eine auf Ihrem Gerät und nutzen die zum Scannen eines QR-Codes.
• Wenn Sie einen zweifelhaften Brief bekommen haben, rufen Sie beim Absender an. Verlassen Sie sich dabei nicht auf eine im Brief angegebene Telefonnummer, sondern recherchieren Sie auf seriösen Internetseiten, ob die Nummer auch dort in Verbindung mit dem Unternehmen zu finden ist. Bei einem Brief Ihrer Bank könnten Sie in Ihr echtes Online-Banking schauen und prüfen, ob Sie dort eine Nachricht mit Handlungsbedarf finden. Die gefälschten Briefe beginnen häufig allgemein mit »Sehr geehrter Kunde, sehr geehrte Kundin…« und nicht mit dem persönlichen Namen. Oft enthalten die Schreiben Rechtschreibfehler oder ungewöhnliche Formulierungen.
• Prüfen Sie beim Laden Ihres E-Autos an der Ladesäule, ob der QR-Code überklebt wurde. Falls das so ist, scannen Sie ihn nicht!
• Wenn Sie auf den Betrug hereingefallen sind, wenden Sie sich umgehend an die Polizei! Falls Sie Geld bezahlt haben, informieren Sie umgehend Ihre Bank oder rufen Sie den Sperr-Notruf 116116 an!

»Quishing«​ ist besonders gefährlich, da QR-Codes deutlich mehr Vertrauen erwecken, als es Links tun. Ist der QR-Code an einem plausiblen Ort und in einem logischen Kontext platziert, werden viele Menschen ohne Bedenken und kritisches Hinterfragen auf den Website landen, zu der ein, unter Umständen gefälschter, QR-Code führt.