Quishing ist eine Wortschöpfung aus QR-Code und Phishing. Dabei manipulieren Angreifer physische QR-Codes, um Nutzer auf betrügerische Webseiten zu leiten, die Passwörter oder Zahlungsdaten stehlen.

Wie erkenne ich einen gefälschten QR-Code?

Prüfen Sie, ob der QR-Code als Aufkleber über ein originales Design geklebt wurde. Achten Sie zudem auf die URL-Vorschau Ihres Smartphones: Wenn die Webadresse kryptisch wirkt oder nicht zum Restaurant passt, sollten Sie den Vorgang abbrechen.

Quishing-Alarm im Restaurant: Die Gefahr hinter dem QR-Code

"Quishing" (QR-Phishing) nutzt manipulierte QR-Codes in Restaurants oder an Ladestationen, um Nutzer auf gefälschte Webseiten zu locken. Dort werden Login-Daten, Zahlungs-Informationen oder persönliche Profile abgegriffen. Schützen Sie sich, indem Sie QR-Codes auf Überklebungen prüfen, URL-Vorschauen kontrollieren und für Bestellungen konsequent Wegwerf-E-Mail-Adressen nutzen.

Was während der Pandemie als hygienische Notwendigkeit begann, ist heute Standard: Die digitale Speisekarte per QR-Code. Doch wo Bequemlichkeit herrscht, sind Kriminelle nicht weit. Unter dem Fachbegriff Quishing (eine Wortschöpfung aus QR-Code und Phishing) verbreitet sich eine neue Betrugsmasche, die besonders im Urlaub zur Gefahr wird.

Auf einen Blick: Quishing-Gefahren

Manipulation physischer QR-Codes (Überkleber)
Diebstahl von Login- und Kreditkartendaten
Tracking und Erstellung von Schattenprofilen
Malware-Infektion durch präparierte URLs

Wie Quishing im Alltag funktioniert

Stellen Sie sich vor, Sie sitzen in einem belebten Café in Rom oder Paris. Auf dem Tisch klebt ein QR-Code mit der Aufschrift "Menu & Order". Sie scannen ihn, landen auf einer professionell aussehenden Seite und werden gebeten, sich kurz anzumelden oder direkt Ihre Kreditkartendaten für die Bezahlung zu hinterlegen.

Was Sie nicht sehen: Ein Betrüger hat einen hauchdünnen Aufkleber über den originalen QR-Code des Restaurants platziert. Die Webseite ist eine täuschend echte Kopie. Sobald Sie Ihre Daten eingeben, landen diese in den Datenbanken der Kriminellen.

Security Alert

Oft geht es nicht nur um den direkten Diebstahl von Geld. Viele digitale Bestellsysteme verlangen die Eingabe einer E-Mail-Adresse. Diese Daten werden gesammelt, mit anderen Leaks korreliert und an Datenbroker verkauft. So entstehen detaillierte Profile über Ihr Konsumverhalten und Ihren Standort.

Information Gain: So schützen Sie sich effektiv

Die gängigen Tipps wie "Vorsicht beim Scannen" reichen oft nicht aus. Hier sind drei konkrete Taktiken, die Ihre Sicherheit im Restaurant massiv erhöhen:

Der haptische Check: Fahren Sie mit dem Finger über den QR-Code. Fühlt er sich erhaben an oder spüren Sie eine Kante? Dann handelt es sich wahrscheinlich um einen Aufkleber. Originale Codes in seriösen Betrieben sind meist direkt auf die Karte gedruckt oder hinter Glas laminiert.
Die URL-Vorschau nutzen: Moderne Smartphones zeigen vor dem Öffnen der Seite die Ziel-URL an. Wenn dort kryptische Adressen wie "bit.ly/restaurant-xyz" oder "qr-service-24.com" stehen, obwohl Sie im "Café de Paris" sitzen, ist höchste Vorsicht geboten.
Die "Burner-Mail" Strategie: Nutzen Sie für Bestell-Apps oder digitale Menüs niemals Ihre Haupt-E-Mail-Adresse. Verwenden Sie Alias-Dienste (wie sie im Datenputzer-Abo enthalten sind), um Tracking und Spam von vornherein zu unterbinden.

Besonders auf Reisen ist ein umfassender Schutz wichtig. Wer auch im öffentlichen WLAN sicher surfen will, sollte zudem auf eine verschlüsselte Verbindung setzen. Erfahren Sie mehr dazu in unserem Ratgeber zum Thema sicheres Surfen im Urlaub mit Managed DNS.

Experten-Perspektive: Warum Quishing so erfolgreich ist

Kevin Pabst ordnet die Gefahr ein: "Quishing ist deshalb so gefährlich, weil es die physische Welt mit der digitalen kombiniert. Wir vertrauen dem Ort, an dem wir uns befinden. Wenn wir in einem Restaurant sitzen, übertragen wir das Vertrauen in den Wirt automatisch auf den QR-Code auf seinem Tisch. Die Angreifer nutzen diesen psychologischen Effekt schamlos aus."

Wurden Ihre Daten bereits verkauft?

Datenlecks in Bestellsystemen sind keine Seltenheit. Prüfen Sie mit unserem Darknet-Radar, ob Ihre E-Mail bereits in kriminellen Datenbanken aufgetaucht ist.

Jetzt Darknet-Check starten

Zusammenfassung

QR-Codes sind praktisch, laden aber auch zum Missbrauch ein. Bleiben Sie skeptisch, prüfen Sie die URLs und minimieren Sie Ihre digitale Angriffsfläche durch die Nutzung von Alias-Diensten. Falls Sie bereits Opfer einer Datenpanne geworden sind, unterstützen wir Sie dabei, Ihre Rechte durchzusetzen und Ihre Daten bei Brokern löschen zu lassen.

Muss ich jetzt ganz auf QR-Codes verzichten?

Nein, aber Sie sollten achtsam sein. Nutzen Sie die integrierte Kamera-App Ihres Smartphones (keine Drittanbieter-QR-Scanner!) und achten Sie auf die URL-Vorschau. Geben Sie niemals Passwörter oder Bankdaten auf einer Seite ein, die Sie über einen QR-Code erreicht haben, es sei denn, Sie nutzen gesicherte Zahlungsmethoden wie Apple Pay oder Google Pay.

Was soll ich tun, wenn ich einen gefälschten Code gescannt habe?

Wenn Sie nur die Seite aufgerufen, aber keine Daten eingegeben haben, ist das Risiko meist gering. Haben Sie jedoch Passwörter eingegeben, ändern Sie diese sofort (überall dort, wo Sie das gleiche Passwort nutzen!). Falls Sie Kreditkartendaten hinterlegt haben, informieren Sie umgehend Ihre Bank und lassen Sie die Karte sperren.

Machen Sie sich unsichtbar.

Bekämpfen Sie die Ursache von Spam und Datenmissbrauch. Datenputzer löscht Ihre Profile bei über 100 Brokern weltweit.

Direkt buchen Bereits geschützt? Login

SSL-verschlüsselt & DSGVO-konform