LKA warnt vor Quishing – Phishing per QR-Code

LKA warnt vor „Quishing“Phishing per QR-Code

22.11.2024

Der Quick Response (oder kurz QR) Code ist eine zweidimensionale Version des Barcodes. Durch Scannen des Codes mit einem mobilen Gerät kann eine Vielzahl von Informationen fast unmittelbar übertragen werden.
Heute finden sich QR-Codes praktisch überall. Sie bieten große Mengen an Informationen und definieren Marketing an der Schnittstelle zwischen Print- und Digitalmedien neu.
Praktisch sind sie vor allem auch dann, wenn ein Kunde eine bestimmte Tätigkeit am Smartphone durchführen muss, zum Beispiel das Installieren einer App. Das ist bequem, wird aber von Kriminellen ausgenutzt, derzeit etwa an Parkautomaten.


Im Sommer waren es QR-Codes an E-Auto-Ladesäulen, die Betrüger mit Stickern überklebt hatten. Anstatt zu der benötigten App zu navigieren, wurde man auf eine Phishing-Seite weitergeleitet.
Nun haben Kriminelle Parkautomaten ins Visier genommen. Dort überkleben sie die aufgedruckten QR-Codes, die eigentlich den Download oder den Start der Easypark-App auslösen sollen, warnt das Landeskriminalamt Niedersachsen.

Der neue Fake-QR-Code führe stattdessen zu einer gefälschten Webseite, auf der unter Missbrauch des Namens von Easypark Kreditkartendaten abgegriffen werden sollen. Hierfür täuschen die Täter einen fingierten Sofort-Bezahlprozess vor, den das Unternehmen gar nicht anbietet.
Wer befürchtet darauf hereingefallen zu sein, sollte die Karte vorsorglich sperren lassen, Anzeige erstatten und seine Kontobewegungen im Blick behalten, rät das Landeskriminalamt. Die neue Masche sei Mitarbeitenden der Stadt Hannover aufgefallen. Die Sticker seien professionell gestaltet und sogar mit Easypark-Schriftzug und -Farben versehen, weshalb sie äußerst schwer zu enttarnen seien.

Nicht nur im öffentlichen Raum sind QR-Codes mit Vorsicht zu genießen. Auch QR-Codes in gefälschten Werbe-Mails sind seit Jahren ein Problem. Jüngst sind sogar gefälschte Briefe hinzugekommen, die etwa Schreiben von Banken nachahmen. Fast immer geht es den Betrügern darum, sensible Daten wie Bezahl- oder Kontoinformationen sowie Logins abzugreifen.
Es kann aber auch sein, dass die Quishing-Angriffe den Download und die Installation von Schadsoftware zum Ziel haben.

Am Smartphone sollte man das sofortige Öffnen von Links aus QR-Codes heraus möglichst deaktivieren, rät das LKA. Stattdessen sollte erst einmal nur der Link oder ein Vorschaubild der Website hinter dem Link angezeigt werden. Solche Vorschauen sind meist voreingestellt, wenn man die Smartphone-Kamera oder einen Browser wie Firefox als Scanner nutzt.
Zudem sollten Links aus QR-Codes vor dem Öffnen genau angeschaut werden: Handelt es sich um die erwartete Website ohne Tippfehler, Zahlen- oder Buchstabendreher? Ist die eigentliche Domain vielleicht gar nicht auf einen Blick zu erkennen, sondern steht ganz am Ende eines sehr langen Links? Ist die eigentliche Adresse verborgen, weil der Link von einem Dienst zum Verkürzen von Internetadressen stammt?

Ihre BVfK-IT-Abteilung

> Zurück zum BVfK-Wochenendticker