Alles in Kürze

In Düsseldorfer Bussen wurden falsche QR-Codes auf Gewinnspiel-Plakate geklebt. Scannten Fahrgäste das Zeichen ab, gelangten sie auf eine Fake-Webseite und wurden dort aufgefordert, ihre Daten zur Gewinnspiel-Teilnahme anzugeben. Doch anstatt Glück zu haben, wurden sie zum Pechvogel und Betrüger bekamen ihre Daten.

Mitunter kommen solche falschen Codes auch in Briefen nach Hause - die Briefe wirken wie Post von der Bank, die um Vervollständigung persönlicher Daten im Internet bittet. Wer das tut, geht Betrügern auf den Leim. Das kann richtig teuer werden!

Es geht um das sogenannte Quishing - eine Wortschöpfung aus QR-Code und Phishing. Nach Angaben der Verbraucherzentrale brachten Kriminelle solche falschen QR-Codes etwa an Elektro-Ladesäulen und Parkautomaten an. Außerdem wurden sie auf Werbeplakate geklebt und erweckten den Anschein, Teil der Werbung zu sein.

Im vergangenen Jahr habe es deutlich mehr solcher Fälle gegeben als zuvor, teilte die Verbraucherzentrale Nordrhein-Westfalen in Düsseldorf mit. Zuvor sei es eher eine Randerscheinung gewesen.

Auch bei QR-Codes an Parkscheinautomaten ist Vorsicht geboten. (Symbolbild) © Valentin Gensch/dpa

Eine andere perfide Masche: Autofahrer bekommen ein Knöllchen auf Papier, auf dem ein QR-Code zu einer Zahlungsmöglichkeit im Internet führt. Doch weder Knöllchen noch die Zahlungswebseite sind echt, sondern Teil einer Betrugsmasche.

"Vereinzelt tauchten bereits Anfang 2021 erste E-Mails auf, die einen schädlichen QR-Code enthielten", sagt Verbraucherschützer Christian Urban. "Kriminelle hatten Logos bekannter Banken missbraucht und zum Beispiel dazu aufgefordert, über den QR-Code ein Sicherheitsverfahren zu erneuern."

In den Jahren danach wurde es ruhig um das Thema, 2024 gewann die Betrugsmasche aber an Fahrt. "Grundsätzlich kann Quishing überall auftauchen", erklärt Urban. "Gerade das macht die Masche so gefährlich."

Die Verbraucherzentrale empfiehlt, beim Abscannen des QR-Codes die angezeigte Webseite kritisch zu prüfen und nur dann zu öffnen, wenn man von ihrer Seriosität überzeugt ist. Auch eine separate Internetrecherche kann helfen. Mitunter sehen die Adressen der Fake-Webseiten verdächtig aus, die Buchstabenfolge oder die Interpunktion sind ungewöhnlich.

So wäre "beispiel.de-123.com" keine untergeordnete Webseite von "beispiel.de", sondern von "123.com". An Automaten sind die falschen QR-Codes bisweilen auch daran zu erkennen, dass sie auf die echten Angaben des legalen Betreibers draufgeklebt sind. Und wer den Betrügern auf den Leim gegangen ist und Geld bezahlt hat, sollte umgehend seine Bank anrufen oder den Sperr-Notruf 116 116 anrufen.