Die andere Art von Phishing „Quishing“: QR-Codes vor dem Scannen prüfen
Schnell eingescannt und schon ist man auf der richtigen Website - denkt man vielleicht. Denn ein trügerischer QR-Code kann schnell generiert werden und auf gefälschte Seiten weiterleiten.
Potsdam - „Quishing“ klingt vielleicht erst einmal merkwürdig, bedeutet aber nichts anderes als Phishing per QR-Code. Beim Quishing generieren Betrüger QR-Codes, die auf gefälschte Websites weiterleiten. Wer dort seine Anmeldedaten eintippt, gefährdet nicht nur die Log-in-Daten, sondern mit Pech auch das eigene Konto, warnt die Verbraucherzentrale Brandenburg (VZB).
Denn ein Ziel der Betrugsmasche kann das Paypal-Konto sein. So wurde ein Verkäufer auf einer Plattform für gebrauchte Kleidung ein Opfer des Betrugs. Der angebliche Käufer schickte dem Verkäufer einen QR-Code, über welchen die Zahlung autorisiert werden sollte. In der Realität leitete er aber auf eine gefälschte Paypal-Seite weiter. Die gefälschte Website sah zwar nahezu wie die Originalseite aus, leitete die eingetippten Informationen jedoch direkt an die Betrüger weiter. Der Verkäufer meldete sich an und wenige Momente später wurden mehrere Zahlungen in Höhe von insgesamt über 3.000 Euro von seinem Konto getätigt.
Zahlungsbestätigungen werden selten verlangt
Doch Quishing kommt nicht ganz ohne Warnsignale. Und das fängt schon direkt bei der Zahlungsmethode an.
- Generell sollten die auf der Plattform angebotenen Zahlungsmethoden verwendet werden. Besteht jemand darauf, die Zahlung außerhalb der Plattform abzuwickeln, sollten die Alarmglocken läuten.
- Im Normalfall sollte das Geld ohne eine Bestätigung aufs Konto überwiesen werden - eine extra Zahlungsbestätigung ist untypisch.
- Und im Zweifel: Den Zahlungsweg selbst aussuchen. Auf seriösen Plattformen sollte der Zahlungsweg vom Verkäufer bestimmt werden, und nicht vom Käufer, so Erk Schaarschmidt, Jurist bei der VZB.
Wer die Anmeldedaten noch extra schützen will, sollte eine Zwei-Faktor-Authentifizierung (2FA) einrichten, empfiehlt die VZB. Das kann etwa im Fall von Paypal sowohl für Zahlungen selbst, als auch bereits für den Log-in aktiviert werden. Damit kommen die Betrüger nicht ohne eine weitere Bestätigung, durch etwa einen Code in einer SMS oder 2FA-App, in den Account.
Nicht nur im Postfach, auch auf der Straße
Doch trügerische QR-Codes werden nicht nur verschickt - sondern oft auch auf der Straße verteilt. Gefälschte QR-Codes können etwa in Verkehrsmitteln, an Parkautomaten oder sogar auf unechten Strafzetteln lauern, so die VZB. Wer den Link vorher checken will, kann das bei vielen Smartphones tun. Viele Geräte zeigen den Link an, bevor man ihn öffnet. Kennt man die Originaladresse, kann man sie mit der Gescannten abgleichen.
Generell empfiehlt die Verbraucherzentrale: QR-Codes mit unbekannter Herkunft sollten zur Sicherheit nie eingescannt werden.
