Deine IP:Unbekannt

Dein Internetanbieter:Unbekannt

Dein Status: Unbekannt

Weiter zum Hauptinhalt

Was ist die Bedeutung von Quishing und wie funktioniert es?

Online-Gefahren entwickeln sich ständig weiter und nehmen immer wieder neue Formen an, so gewinnt auch das „Quishing“ an Bedeutung – eine Form des Phishing, bei der QR-Codes verwendet werden, um Menschen zu täuschen. QR-Codes werden in vielen Bereichen eingesetzt und haben eine Vielzahl von Verwendungsmöglichkeiten: Du kannst damit dein Abendessen bezahlen, eine Speisekarte anzeigen oder einen Audioguide im Museum anhören. Daher haben wir uns natürlich sehr an sie gewöhnt, und Cyberkriminelle nutzen das für sich aus. Schauen wir uns also an, was Quishing bedeutet, wie es funktioniert, welche Gefahren es birgt und wie du dich davor schützen kannst.

Werner Beckmann

29. Apr. 2025

9 Min. Lesezeit

What is quishing? Protect yourself from QR code phishing

Was ist Quishing?

Quishing ist eine Wortkombination aus „QR-Code“ und Phishing, es ist also eine Form des Phishing-Angriffs, bei dem Kriminelle QR-Codes verwenden, um Nutzer zum Besuch gefälschter, schädlicher Webseiten zu verleiten. Das Ziel der Angreifer ist es, den Benutzern so Daten zu entlocken oder deren Geräte mit Schadsoftware zu infizieren.

Wie funktioniert Quishing?

Quishing funktioniert, indem Nutzer dazu gebracht werden, einen gefälschten QR-Code zu scannen. Wenn der Nutzer also den Code mit seiner Handy-Kamera scannt, kann das Gerät den Link aufrufen und wird dann zu einer Webseite weitergeleitet, indem man auf den QR-Link klickt. Für ein besseres Verständnis haben wir hier die genauen Schritte für dich aufgeführt, damit du verstehst, wie Quishing funktioniert:

1.Angreifer erstellen einen QR-Code. Sie generieren einen QR-Code, der eine bösartige URL enthält oder so programmiert ist, dass er beim Scannen eine schädliche Aktion ausführt.
2.Angreifer verbreiten den QR-Code. Sie können den bösartigen QR-Code digital über E-Mails oder Social-Media-Beiträge versenden oder ihn physisch verteilen, indem sie Poster, Flyer und Aufkleber drucken. Manchmal kleben Angreifer ihren bösartigen QR-Code über legitime Codes an öffentlichen Orten.
3.Angreifer nutzen Tricks, um Opfer zu locken. Der QR-Code wird von einem Call-to-Action oder einer kurzen, überzeugenden Nachricht begleitet, die die Nutzer dazu auffordert, ihn zu scannen. Der Text könnte behaupten, dass der Code ein Sonderangebot enthält, Zugang zu einer spannenden App zum Download bietet oder nützliche Informationen enthält, die man sonst nirgendwo bekommt (ein Menü, einen Audioguide oder eine Karte).
4.Das Opfer scannt den QR-Code. Ein ahnungsloser Nutzer scannt den QR-Code mit seinem Smartphone oder Tablet und erwartet, den versprochenen Inhalt oder Dienst zu erhalten.
5.Angreifer führen den Angriff aus. Der QR-Code leitet das Opfer in der Regel auf eine gefälschte Webseite weiter oder initiiert den Download von Schadsoftware.
6.Angreifer nutzen die gesammelten Daten und führen weitere Angriffe damit durch. Die Angreifer verwenden die gesammelten Daten und infizierten Geräte für Identitätsdiebstahl, Finanzbetrug oder weitergehende Phishing-Angriffe.

Was ist der Unterschied zwischen Phishing und Quishing?

Die Form des Quishing-Angriffs unterscheidet sich vom herkömmlichen Phishing, in der Art und Weise, wie der Link formatiert wird. Anstatt eines Links, der im Fließtext untergebracht wird, führt der Link eines QR-Codes zu einer schädlichen Seite. Und anstatt, dass eine schädliche Datei an eine E-Mail, wie beim herkömmlichen Phishing, angehängt wird, wird der Datei-Download über das Auslesen des QR-Codes ausgelöst.

Was sind die Risiken des Quishing?

Je nachdem, wozu der schädliche QR-Code programmiert wurde, kann Quishing eine Reihe unterschiedlicher Risiken bergen:

1.Datendiebstahl. Wenn der Nutzer seine Daten auf einer gefälschten Webseite eingibt, auf die ihn der QR-Code weiterleitet, können die Angreifer seine Konten und andere Daten wie Benutzernamen, Passwörter und Kreditkartendaten stehlen. Diese Daten können für Cyber-Erpressung und Betrug verwendet oder im Dark Web verkauft werden.
2.Infektion mit Schadsoftware. Nach dem Scannen beginnen einige QR-Codes automatisch, Schadsoftware auf dein Gerät herunterzuladen. Dabei kann es sich um verschiedene bösartige Programme handeln – Spyware, die deine Internetaktivitäten überwacht, Ransomware, die dein Handy hacken und sperren, bis ein Lösegeld gezahlt wird, oder ein Trojaner, der den Angreifern Zugriff auf dein Gerät verschafft.
3.Finanzielle Verluste. Wenn du deine Finanzdaten auf einer gefälschten Webseite eingibst oder Spyware herunterlädst, können Cyberkriminelle diese Informationen stehlen und unbefugte Transaktionen von deiner Kreditkarte durchführen, Bankkonten leerräumen oder andere Formen von Finanzbetrug begehen.
4.Rufschädigung. Für Unternehmen kann ein erfolgreicher Quishing-Angriff zum Verlust von Kundendaten führen, was wiederum den Verlust des Kundenvertrauens, negative Publicity und sogar rechtliche Konsequenzen nach sich ziehen kann.

Verletzung der Privatsphäre. Persönliche Fotos, Nachrichten und andere private Informationen, die auf deinem Smartphone gespeichert sind, können für Doxxing und Erpressung verwendet werden.

Beispiele für Quishing

Es gibt einige Beispiele für Phishing-QR-Codes, die immer wieder versuchen, die Daten der Nutzer zu stehlen oder sie mit Schadsoftware zu infizieren. Hier findest du ein paar Beispiele für Quishing.

Gefälschte QR-Codes an Parkautomaten

Bei einer besonders beliebten Quishing-Betrugsmasche kleben Kriminelle gefälschte QR-Codes an Parkuhren. Autofahrer scannen den Code, um zu bezahlen, werden aber auf eine bösartige Webseite weitergeleitet, die ihre Zahlungsdaten abfängt.

E-Mail-basiertes QR-Code-Phishing

Mitarbeiter bekommen E-Mails, die angeblich von der IT-Abteilung ihres Unternehmens stammen und sie auffordern, einen QR-Code zu scannen, um ihr Passwort wegen eines Sicherheitsupdates zurückzusetzen. Wenn der Code gescannt wird, landet der Nutzer auf einer gefälschten Anmeldeseite, die seine Zugangsdaten stiehlt. Dieser Angriff kombiniert Phishing-E-Mails mit QR-Codes, um Sicherheitsfilter zu umgehen, die normalerweise bösartige Links erkennen.

Falsche QR-Codes für Speisekarten in Restaurants

Es kommt immer wieder vor, dass die Kriminellen legitime QR-Codes in Restaurants oder an anderen öffentlichen Orten überkleben. Unbedarfte Nutzer scannen die gefälschten Codes und laden sich so mit einer vermeintlichen Speisekarte auf Schadsoftware aufs Gerät oder werden auf eine gefälschte Seite geführt.

Bankwesen und Finanzdienstleistungen

Per gefälschten Briefen oder E-Mails, die so aussehen, als wären sie von einer legitimen Bank, werden Opfer mitunter dazu aufgefordert, zum Beispiel ihr photoTan-Verfahren zu aktualisieren. Im Brief oder in der E-Mail wird dann ein QR-Code von den Angreifern platziert. Der Link des Codes führt auf eine Seite, die der Bank ähnlich sieht, sie ist aber von den Betrügern erstellt worden. Dort eingegebene Bankdaten können so einfach von den Kriminellen mitgelesen werden, damit sie sich Zugang zum Bankkonto des Opfers verschaffen.

Was passiert, wenn man einen betrügerischen QR-Code scannt?

Es können hauptsächlich zwei Sachen passieren, wenn du einen betrügerischen QR-Code scannst. Die Angreifer leiten dich über den QR-Link entweder auf eine von ihnen gefälschte Seite weiter, wo du möglicherweise Daten von dir preisgeben sollst für weiterführenden Betrug oder der QR-Code lädt direkt eine Datei herunter, die auch Schadsoftware enthält. In beiden Fällen ist das Ziel der Kriminellen, deine Daten, deine Identität oder dein Geld zu stehlen.

Was solltest du tun, wenn du Opfer eines Quishing-Angriffs wirst?

Wenn du Opfer eines Quishing-Angriffs geworden bist, gibt es ein paar wichtige Schritte, die du sofort unternehmen solltest:

Trenne dein Gerät vom Internet, um die Datenübertragung zum Angreifer zu stoppen und laufende schädlichen Aktivitäten zu beenden.
Gib keine weiteren Infos preis, die du nicht schon gegeben hast. Wenn du Anrufe, E-Mails oder SMS bekommst, geh nicht drauf ein.
Benutz eine vertrauenswürdige Anti-Malware-Software und mach einen kompletten Scan, um eventuell installierte Schadsoftware zu erkennen und zu entfernen.
Finde heraus, welche Konten gefährdet sein könnten, und ändere alle Passwörter, die kompromittiert wurden. Richte für zusätzliche Sicherheit eine Zwei-Faktor-Authentifizierung ein.
Wenn du den Verdacht hast, dass deine Finanzdaten kompromittiert wurden, überprüfe deine Kontoauszüge und Kreditkartenabrechnungen und benachrichtige deine Bank.
Wenn dein Arbeitsgerät oder dein Konto bei einem Quishing-Angriff kompromittiert wurde, benachrichtige so schnell wie möglich die IT-Abteilung deines Unternehmens.

So erkennst du Quishing-Angriffe

Es gibt ein paar Möglichkeiten, wie du erkennen kannst, ob ein QR-Code Quishing ist oder nicht:

Physische QR-Codes überprüfen. Wenn du einen QR-Code vor dir hast, z.B. im Restaurant, kannst du überprüfen, ob er gegebenenfalls über einen anderen geklebt wurde. Sieht etwas verdächtig aus, kannst du an solchen Orten auch das Personal bitten, dies zu prüfen.
Aufforderung, schnell zu handeln. Wenn mit dem Quishing-Code eine Nachricht verbreitet wird, die dir ein Gefühl der Dringlichkeit vermitteln soll oder absurde Rabatte verspricht, solltest du aufpassen, dies sind klassischen Anzeichen für Phishing-Angriffe, auch mit QR-Code.
Link überprüfen. Wenn du einen QR-Code scannst, wird dir auf dem Handy meist der Link angezeigt, auf den du klicken sollst. Überprüfe die Schreibweise der URL. Wenn der Link zum Beispiel zu amazon.com führen soll, aber auf arnazon.com (m wird durch r und n ersetzt) kann man den kleinen aber feinen Unterschied nur bei genauerem Hinsehen erkennen. Mit solchen Tricks wollen dir die Betrüger glaubhaft machen, du würdest eine legitime Webseite besuchen.
Auf Fehler achten. Dank künstlicher Intelligenz können Betrüger heute noch bessere gefälschte Seiten und Texte erstellen als früher. Dennoch könnte das Design oder die Sprache nicht dem entsprechen, was du von einer bestimmten Marke gewohnt bist. Wenn dir Unstimmigkeiten oder sogar grammatikalische Fehler auffallen, solltest du Vorsicht walten lassen.

So kannst du Quishing-Angriffe verhindern

Um dich vor Quishing-Betrug zu schützen, musst du wachsam sein, eine gesunde Skepsis an den Tag legen und Sicherheits-Tools nutzen.

Sei vorsichtig bei unbekannten QR-Codes
- Scanne nur QR-Codes aus vertrauenswürdigen Quellen. Sei vorsichtig mit Codes, die du in unaufgeforderten E-Mails oder Social-Media-Beiträgen findest.
- Bevor du einen öffentlichen Code scannst, überprüfe, ob die legitimen QR-Codes mit bösartigen Codes überklebt wurden.
Nutze sichere QR-Code-Scanner
- Nutze spezielle QR-Scan-Apps, mit denen du die URL vor dem Öffnen in einer Vorschau anzeigen kannst. So kannst du besser entscheiden, ob der Link legitim ist.
- Wähle Apps mit integrierten Sicherheitsprüfungen.
Überprüfe die URL sorgfältig
- Analysiere die URL nach dem Scannen. Achte auf Rechtschreibfehler, seltsame Website-Namen oder verdächtige Erweiterungen.
- Sei vorsichtig, wenn der QR-Code zu einer verkürzten URL führt – diese kann verwendet werden, um das Ziel zu verbergen.
Halte deine Geräte auf dem neuesten Stand
- Aktualisiere regelmäßig das Betriebssystem und die Apps deines Smartphones, um Sicherheitslücken zu schließen.
Verwende Sicherheitssoftware
- Hol dir NordVPN und richte den Bedrohungsschutz auf deinem Smartphone ein. So vermeidest du bekannte bösartige Websites und Phishing-Webseiten.
Sichere deine Konten
- Verwende sichere Passwörter, die nicht erraten werden können. Verwende nicht dasselbe Passwort für verschiedene Konten.
- Aktiviere die Zwei-Faktor-Authentifizierung, um unbefugten Zugriff zu verhindern, selbst wenn deine Anmeldedaten gestohlen werden.
Beschränke App-Berechtigungen
- Verhindere, dass QR-Scan-Apps auf unnötige Daten oder Funktionen auf deinem Gerät zugreifen.
Sei skeptisch und informiere dich
- Sei vorsichtig bei QR-Codes, die unrealistische Belohnungen und Rabatte versprechen oder zu dringenden Handlungen auffordern.
- Halte dich über die neuesten Quishing-Taktiken auf dem Laufenden und teile dieses Wissen mit Freunden und Familie.
- Sei lieber vorsichtig – wenn dir etwas an einem QR-Code oder dem Kontext, in dem er angezeigt wird, seltsam vorkommt, scanne ihn lieber gar nicht.

Online-Sicherheit beginnt mit einem Klick.

Bleib sicher – mit dem weltweit führenden VPN

Hol dir NordVPN Mehr dazu

Schütze dich vor Phishing-Betrug

Meide gefährliche Phishing-Websites und sei Betrügern immer einen Schritt voraus.

Phishing blockieren

Außerdem verfügbar in: English,Français.

Werner Beckmann

Werner ist Copywriter und Wortjongleur bei NordVPN. Er recherchiert gerne die neuesten Trends in Sachen Cybersicherheit und berichtet über spannende Tech-Themen im NordVPN-Blog. Mit seinen Texten möchte er die Menschen über Online-Sicherheit aufklären und die Vision eines wahrhaft freien Internets vorantreiben.

Aktuelle Artikel

Cybersicherheit

30. Aug. 2024

11 Min. Lesezeit

Was ist Phishing? Definition, Beispiele und Schutzmaßnahmen

Ilma Vienažindytė

Cyberangriffe & Datenlecks

1. Feb. 2023

4 Min. Lesezeit

Was ist ein Whaling-Angriff und wie funktioniert er?

Werner Beckmann

Verbindung

16. Juni 2025

13 Min. Lesezeit

Kostenloses VPN vs. kostenpflichtiges VPN: Sind kostenlose VPNs wirklich kostenlos?

Werner Beckmann