Beim Quishing, zusammengesetzt aus den Begriffen QR-Code und Phishing (für „Passwörter abfischen“), erhalten Sie eine EMail, die Sie auffordert, einen QR-Code zu scannen. Häufig wird in der Betreffzeile der EMail auf ein angebliches Sicherheitsproblem hingewiesen, bei dem die Nutzer aktiv werden müssten. Scannen Sie den QR-Code, so landen Sie - ähnlich wie bei einem gefälschten Link -, auf einer betrügerischen Website. Dort sollen Sie sich dann mit Ihrem Passwort und der PIN-Nummer für das Online Banking anmelden und dies per TAN-Bestätigung von Ihrem Smartphone aus autorisieren. Die sensiblen Daten werden dann von den Cyberkriminellen gestohlen, um im Anschluss die Konten ihrer Opfer zu plündern.

Virenscanner erkennen keine gefälschten QR-Codes
Beim Quishing nutzen die Cyberkriminellen eine Schwäche von IT-Sicherheitslösungen aus. Diese scannen zwar EMails auf verdächtige Anhänge und Links. „Ein QR-Code, der in eine E-Mail eingebunden ist, wird von Anti-Viren-Programmen jedoch nur als Bild erkannt und deshalb sehen die Sicherheitsprogramme darin kein Risiko“, warnt die Gewerkschaft der Polizei. Die Phishing-Nachrichten mit QR-Codes laufen also „unter dem Sicherheitsradar“ der Anti-Viren-Programme und gelangen unbeanstandet in die EMail-Postfächer der Nutzer, an deren Daten die Cyberkriminellen interessiert sind. 

Quishing ist plattformübergreifend
Quishing-Angriffe nutzen die Tatsache aus, dass wir immer mehr Sicherheitsabfragen auf unseren digitalen Endgeräten gewohnt sind. Es ist heute sehr gebräuchlich, verschiedene Plattformen oder Geräte wie Computer und Smartphones zu kombinieren, etwa um Banküberweisungen freizugeben. Deshalb sind Nutzer auch nicht überrascht, wenn sie plötzlich in einer Mail aufgefordert werden, den QR-Code mit dem Handy zu scannen und damit eine Plattform, etwa den Computer, zu verlassen.

Quishing geschieht auch per Brief und am Parkautomat
Die Ganoven beschränken sich nicht nur auf EMails. Es werden auch Briefe versendet, in denen es angeblich um die Überprüfung der Identität von Bankkunden aufgrund von EU-Vorschriften geht. Dazu soll man ebenfalls den auf dem Anschreiben abgebildeten QR-Code scannen. Dieser leitet die Nutzer dann auf eine gefälschte Website weiter. Die Smartphones erkennen in der Regel nicht, dass die angesteuerte Website gefälscht ist, und lassen diese Weiterleitung zu. 

Bei einer noch relativ neuen Variante des Quishings manipulieren Betrüger Parkautomaten und öffentliche E-Ladesäulen, indem sie bereits vorhandene QR-Code-Aufkleber mit eigenen gefälschten Codes überkleben. Scannen ahnungslose Autofahrerinnen und Autofahrer den Fake-Code, führt dieser sie auf eine nachgemachte Webseite des Parkautomaten- bzw. Ladesäulenbetreibers. Dort hinterlassen die Kunden ihre Kontodaten, mit denen die Betrüger dann versuchen, Geld abzubuchen. „Besonders perfide ist die Masche, bei der nach dem Eintippen der Bezahldaten eine Störung gemeldet wird. Erst im zweiten Anlauf gelangen die Opfer zur richtigen Webseite des Betreibers und vergessen den ersten Fehlversuch“, warnt die Gewerkschaft der Polizei.

Tipps, um nicht auf Quishing hereinzufallen
•    Prüfen Sie sorgfältig, ob es sich bei der Mail oder dem Brief um eine Fälschung handelt. Kontaktieren Sie den vermeintlichen Absender über offizielle Kanäle, um sich zu vergewissern, dass die Nachricht tatsächlich von diesem Absender stammt.
•    Nutzen Sie eine Multi-Faktor-Authentifizierung. Sie ist ein wirksamer Schutz gegen alle Formen des Phishings. Selbst wenn Kriminelle Ihre Zugangsdaten in Erfahrung bringen, fehlt ihnen dann der zweite oder dritte Faktor zum erfolgreichen Einloggen unter Ihrem Namen.
•    Als Autofahrer sollten Sie QR-Code-Aufkleber an Ladesäulen und Parkautomaten genau ansehen und prüfen, ob diese möglicherweise einen anderen Code überkleben. Falls es einen zusätzlichen QR-Code im Display gibt, sollten Sie immer diesen anstelle des Aufklebers scannen. Besondere Vorsicht ist geboten, wenn auf der Anzeige ein hoher Betrag erscheint, oder die Webseite des Betreibers einen unseriösen Eindruck macht.