Quishing: LKA warnt vor neuer Betrugsmasche mit QR-Codes

Sie kleben an Parkautomaten, hängen an Plakaten, tauchen in Nachrichten auf dem Smartphone auf oder finden sich sogar auf Schreiben von Banken und Sparkassen: QR-Codes. Doch genau diese praktische Technik nutzen Kriminelle für eine Betrugsmasche, die in Sachsen-Anhalt immer häufiger vorkommt – Quishing.

2024 zählte die Polizeiinspektion Halle (Saale) rund 40 Quishing-Fälle. „Auch im laufenden Jahr bewegt sich die Fallzahl auf einem vergleichbaren Niveau. Insgesamt ist dabei eine tendenziell steigende Entwicklung zu beobachten“, sagt Alexander Junghans von der Polizeiinspektion Halle (Saale). Landesweit meldet das Landeskriminalamt Sachsen-Anhalt aktuell 74 Delikte dieser Art.

Vom Parkautomaten bis zu Verkaufsplattformen

Der Begriff „Quishing“ verbindet „QR-Code“ und „Phishing“. Kriminelle platzieren gefälschte QR-Codes an öffentlichen Orten oder verschicken sie digital – oft in E-Mails, Chats oder über Verkaufsplattformen. Wer den Code scannt, landet auf einer betrügerischen Website, die täuschend echt aussieht. Dort sollen Passwörter, Kontodaten oder andere persönliche Informationen eingegeben werden. In manchen Fällen wird beim Scannen auch Schadsoftware auf das Gerät geladen.

 „Quishing gehört zu den sogenannten Online-Betrugsdelikten und ähnelt in seiner Vorgehensweise dem klassischen Phishing. Der schnelle Zugriff auf QR-Codes per Handy erleichtert Tätern ihre Arbeit“, erklärt Uwe Bachmann, Pressesprecher des LKA Sachsen-Anhalt in Magdeburg.

Besonders beliebt sind Verkaufsplattformen wie eBay oder Vinted. Dort tarnen sich Täter als Käufer, senden angebliche Zahlungsbestätigungen mit QR-Code und fordern die Verkäufer auf, diesen zu scannen, um ihr Geld zu erhalten. Wer dem folgt, gibt unbemerkt Zugangsdaten preis – mit teils hohen finanziellen Schäden.

Auffällige Aufkleber als Warnsignal

Auch die Verbraucherzentrale Sachsen-Anhalt warnt vor dieser Masche. „Verbraucher sollten grundsätzlich nicht vorschnell Daten von sich weitergeben oder Zahlungen leisten“, sagt Anne Neumann, Referentin Recht und Digitales. Ein Beispiel aus der Praxis: „Bei einem Parkscheinautomaten kann es vorkommen, dass der originale QR-Code mit einem falschen überklebt wurde. Bei genauem Hinsehen erkennt man manchmal den Aufkleber – ein Indiz für Manipulation.“

So schützt man sich vor Quishing

• Codes nur aus vertrauenswürdigen Quellen scannen, etwa von offiziellen Schreiben oder bekannten Unternehmen.
• Vor dem Öffnen die angezeigte Zieladresse prüfen – ungewöhnliche Domains oder Tippfehler sind Warnsignale.
• Keine sensiblen Daten wie Passwörter oder Kontoinformationen eingeben, wenn die Echtheit der Website nicht gesichert ist.
• Im öffentlichen Raum darauf achten, ob QR-Codes überklebt wurden – ein Hinweis auf Manipulation.
• Geräte aktuell halten und Sicherheitssoftware nutzen, um einen Basisschutz zu gewährleisten.

Um sich vor Quishing zu schützen, raten Polizei und Verbraucherschützer zu besonderer Aufmerksamkeit im Umgang mit QR-Codes. Ob an der Laterne in der Innenstadt oder im Chatfenster beim Online-Verkauf – Quishing kann überall lauern. Die Polizei in Halle und das LKA Sachsen-Anhalt sind sich einig: Aufmerksamkeit und Skepsis sind der beste Schutz.