Bei einem Quishing-Angriff wird ein QR-Code verbreitet, der auf den ersten Blick harmlos wirkt, aber den Benutzer auf eine manipulierte Webseite umleitet. Das Ziel entspricht dem der klassischen Phishing-Methoden:

• Abgreifen von Zugangsdaten (Login), z. B. zu E-Mails, Cloud-Diensten oder Bankkonten.
• Download von Malware auf das Gerät des Nutzers.

Die besondere Gefahr dieser Betrugsvariante besteht darin, dass die Nutzer vor dem Scannen nicht direkt sehen können, wohin der QR-Code führt. Auf den ersten Blick wirken QR-Codes unbedenklich. Hinzu kommt, dass Mobilgeräte meist weniger geschützt sind als PCs.

Es hat bereits Fälle gegeben, in denen Kriminelle vermeintliche Schreiben von Banken mit manipulierten QR-Codes per Briefpost versendet haben. Auffällig ist hierbei, dass man meist nicht mit dem Namen, sondern mit einer allgemeinen Anrede, wie beispielsweise mit „Sehr geehrte Kontoinhaberin“ angesprochen wird.

Weiterhin bekannt ist das Überkleben aufgedruckter QR-Codes an Ladesäulen für E-Autos, die auf schadhafte Webseiten führen. Wenn der Ladevorgang dann per QR-Code bezahlt werden soll, können die Kriminellen Kontodaten abfangen.

Auch aufgetreten sind gefälschte Strafzettel an Autos. In einigen Gemeinden und Städten ist es möglich, Strafzettel direkt über einen QR-Code zu bezahlen. Prüfen Sie also vorher genau, ob der Strafzettel echt ist.

An öffentlichen Orten verteilte Bitcoin-Paper-Wallets sind eine weitere Masche der Täter. Dabei handelt es sich um Zettel in kleinen Tüten, die den Eindruck vermitteln, dass man durch das Scannen des QR-Codes einen hohen Bitcoin-Wert gewinnt. Um den Betrag zu erhalten, sollen auf einer manipulierten Website die eigenen Kontodaten preisgegeben werden.

• Vorsicht bei unbekannten QR-Codes: Besonders bei E-Mails oder unbekannten Quellen sollten QR-Codes kritisch hinterfragt werden.
• Automatischen Aufruf blockieren: Deaktivieren Sie am Smartphone das automatische Öffnen von Websites per QR-Codes
• Vorsicht bei allgemeinen Formulierungen: Seien Sie aufmerksam, wenn nur eine allgemeine Anrede wie z.B. „Sehr geehrter Kunde“ verwendet wird.
• QR-Code-Scanner mit Vorschau: Es gibt Apps, die den Ziel-Link anzeigen, bevor er geöffnet wird. Befindet sich die Quelle im Ausland, kann das ein Hinweis auf einen manipulierten QR-Code sein (z.B. ".ru").
• Nutzung seriöser Apps: Manche offiziellen QR-Scanner und Zahlungsapps bieten Schutzmechanismen gegen verdächtige Links.
• Keine überklebten QR-Codes: Scannen Sie keine überklebten QR-Codes. Bei Ladesäulen besser den Code des Displays, eine App oder Ladekarte nutzen.
• Keine QR-Codes in E-Mails scannen: Offizielle Organisationen verschicken keine QR-Codes zur Verifizierung oder Anmeldung. Im Zweifel bei der eigenen Bank etc. besser einmal mehr nachfragen als einmal zu wenig.
• Käufe über die selbe Plattform abwickeln: Links oder QR-Codes können auf täuschend echte Webseiten führen, mit denen Betrüger sich Informationen erschleichen. Bei Onlinekäufen lieber die Zahlungskanäle des jeweiligen Portals benutzen.
• Regelmäßige Software-Updates: Damit Sicherheitslücken auf Mobilgeräten geschlossen bleiben.

Sollten Betrüger Zugang zu Kontodaten bekommen haben, gilt es schnell zu handeln.

• Bank sofort informieren: Auf schnellsten Weg die Bank oder das Kreditinstitut von dem Betrug in Kenntnis setzen. Im besten Falle können diese Zahlungen vor der Abwicklung noch stoppen. Außerdem sollten betroffene Karten gesperrt werden und neue Logins für Online-Banking angefordert werden, damit die Betrüger keinen weiteren Schaden anrichten können.
• Dokumentieren: Kontoauszüge mit den Überweisungen können per Bildschirmfoto dokumentiert oder einfach ausgedruckt werden. Wenn persönlicher Kontakt über E-Mail oder Chat zu den Täter bestand, sollten diese auch gesichert werden.
• Anzeige erstatten: Am besten mit allen wichtigen Daten wie Konto- oder Kartennummer, Ort und Datum dann eine Strafanzeige stellen. Dabei ist es wichtig, sich den Zeitpunkt und die aufnehmenden Beamten zu notieren sowie sich eine Abschrift der Strafanzeige geben zu lassen. Diese kann nämlich bei der Klärung von Haftungsfragen als Beweismittel dienen.
• Zahlungsdetails ändern: Falls Konto- oder Kartendaten bei Onlineshops hinterlegt wurden, sollten diese geändert oder gelöscht werden. So können Betrüger Voreinstellungen von Stammkunden nicht für sich nutzen.
• Accounts melden: Wenn die Betrüger persönlichen Kontakt hatten, können ihre Accounts auf Internetseiten und Handelsportalen gemeldet werden.