Warum QR-Code-Phishing stark zunimmt

QR-Codes sind überall. Man sieht sie auf Plakaten, Parkautomaten, Restaurant-Menüs, Paketen und E‑Mails. Ein kurzer Scan mit dem Smartphone öffnet eine Website oder startet einen Download. Genau diese Einfachheit macht QR-Codes attraktiv – nicht nur für Firmen, sondern auch für Angreifer.

In den letzten Jahren ist QR-Code-Phishing deutlich grösser geworden. Sicherheitsfirmen beobachten, dass Betrugsversuche mit QR-Codes stark steigen. Der Grund ist simpel: Ein QR-Code versteckt das eigentliche Ziel. Vor dem Scan sieht man nicht, wohin der Link führt.

Was QR-Code-Phishing ist

QR-Code-Phishing wird oft auch "Quishing" genannt. Dabei platzieren Angreifer einen manipulierten QR-Code, der auf eine betrügerische Website führt.

Typische Beispiele:

• Ein gefälschtes Parkticket mit QR-Code

• Ein Aufkleber über einem echten QR-Code

• Eine E‑Mail mit angeblichem Login über QR-Code

• Ein Plakat mit "Scan für Rabatt"

Nach dem Scan öffnet sich eine Website, die wie ein legitimer Dienst aussieht. Dort sollen Nutzende ein Passwort, Kreditkartendaten oder andere Informationen eingeben. In Wirklichkeit gehen diese Daten direkt an die Angreifer.

Warum diese Methode so gut funktioniert

QR-Code-Phishing nutzt mehrere Schwächen aus.

1. Versteckte Links

Bei einer normalen URL sieht man die Domain im Browser. Ein QR-Code zeigt diese Information nicht. Erst nach dem Scan wird die Adresse sichtbar.

2. Vertraün in physische Umgebung

Viele Menschen vertraün Dingen, die im realen Umfeld stehen. Ein QR-Code auf einem Parkplatz oder in einem Restaurant wirkt legitim.

3. Mobile Geräte

Der Scan passiert meist auf dem Smartphone. Dort ist die Anzeige von URLs kleiner, und eine schnelle Überprüfung findet selten statt.

4. Einfache Manipulation

Ein Angreifer kann einfach einen neuen QR-Code drucken und über einen vorhandenen kleben. Ohne genaü Überprüfung fällt das kaum auf.

Typische Angriffsszenarien

Ein häufiger Fall ist der Parkautomat. Angreifer kleben einen eigenen QR-Code über den echten. Wer den Code scannt, landet auf einer gefälschten Zahlungsseite.

Ein anderes Szenario betrifft Firmen. Mitarbeitende erhalten eine E‑Mail mit einem QR-Code für eine angebliche Konto-Überprüfung oder Passwortänderung. Nach dem Scan erscheint eine Login-Seite, die identisch mit dem echten Dienst wirkt.

Auch Paketbenachrichtigungen oder Lieferdienste werden oft missbraucht. Ein QR-Code verspricht Sendungsverfolgung oder eine schnelle Zahlung für Zoll oder Versand.

Wie man sich schützt

QR-Codes sind nicht grundsätzlich unsicher. Das Risiko entsteht durch fehlende Kontrolle vor dem Öffnen.

Einige einfache Regeln helfen:

• QR-Codes im öffentlichen Raum kritisch betrachten

• Aufkleber oder beschädigte Codes genau prüfen

• Die angezeigte URL nach dem Scan kontrollieren

• Keine Passwörter oder Zahlungsdaten eingeben, wenn Zweifel bestehen

• Wenn möglich direkt die offizielle Website öffnen statt den QR-Code zu nutzen

Viele moderne Smartphone-Kameras zeigen vor dem Öffnen eine Vorschau der URL. Diese kurze Überprüfung kann bereits viele Angriffe verhindern.

Warum das Problem weiter wachsen wird

QR-Codes werden immer häufiger genutzt: für Zahlung, Login, Marketing und Support. Je verbreiteter die Technologie wird, desto attraktiver wird sie für Betrug.

Für Angreifer ist diese Methode günstig, schnell skalierbar und schwer sichtbar. Ein gedruckter Code kostet fast nichts, kann aber viele Opfer erreichen.

Darum erwarten Sicherheitsexperten, dass QR-Code-Phishing in den nächsten Jahren weiter zunimmt.

Fazit

QR-Codes sind praktisch, aber sie umgehen eine wichtige Sicherheitsbarriere: die sichtbare URL. Genau das macht sie für Phishing attraktiv.

Eine kurze Überprüfung nach dem Scan und ein gesundes Misstraün gegenüber unbekannten Codes reduzieren das Risiko deutlich. In einer Welt voller QR-Codes ist Aufmerksamkeit die einfachste und zuverlässig wirkende Schutzmassnahme.