QR-Code-Betrüger: FBI warnt vor neuer Cyber-Masche
Cyberkriminelle nutzen QR-Codes für raffinierte Phishing-Angriffe, die 2025 um 25% zunahmen. Das FBI warnt vor Paket-Scans und manipulierten Codes im öffentlichen Raum als Einfallstore für Datenklau.
Eine raffinierte Welle von Phishing-Attacken nutzt QR-Codes als Einfallstor für Cyberkriminelle. Bundesbehörden und Sicherheitsexperten schlagen Alarm: Das sogenannte „Quishing“ verwandelt den harmlosen Scan eines QR-Codes in eine ernsthafte Bedrohung für persönliche Daten und Firmengeheimnisse.
Das FBI warnt vor einer besonders perfiden Variante: Unbekannte verschicken Pakete an Privatpersonen, die QR-Codes zu betrügerischen Websites oder Malware-Downloads enthalten. Diese neue Form des Phishings ist schwerer zu erkennen als verdächtige E-Mail-Links – sowohl für Menschen als auch für Sicherheitssoftware.
Die Zahlen sind alarmierend: Quishing-Vorfälle stiegen 2025 um 25 Prozent gegenüber dem Vorjahr. Während Unternehmen und Verbraucher QR-Codes für alles nutzen – von Restaurantmenüs bis zu Finanztransaktionen –, missbrauchen Kriminelle das wachsende Vertrauen in die schwarz-weißen Quadrate.
Unsichtbare Gefahr im Alltag
QR-Codes sind für Angreifer besonders attraktiv: Anders als zweifelhafte URLs in E-Mails verrät ein QR-Code erst beim Scannen sein wahres Ziel. Diese Ungewissheit nutzen Cyberkriminelle geschickt aus.
Die häufigste Methode läuft über Phishing-E-Mails, oft versteckt in PDF-Anhängen, um E-Mail-Sicherheitsfilter zu umgehen. Die Nachrichten tarnen sich als vertrauenswürdige Marken wie Microsoft oder Adobe und fordern zum Scannen auf – angeblich um Dokumente einzusehen oder Passwörter zurückzusetzen.
Der Scan erfolgt meist mit dem privaten Smartphone, das weniger geschützt ist als Firmengeräte. Die Opfer landen auf täuschend echten Kopien echter Login-Seiten oder laden unwissentlich Schadsoftware herunter.
Anzeige: Apropos Quishing über private Handys: Viele Android-Nutzer übersehen genau die Schutzschritte, die solche Angriffe abwehren. Ein kostenloser Ratgeber erklärt die 5 wichtigsten Maßnahmen – Schritt für Schritt und ohne Zusatz-Apps. Schützen Sie WhatsApp, Online-Banking und Einkäufe zuverlässig vor Datendieben. Kostenloses Android-Sicherheitspaket anfordern
Betrug vor der Haustür
Zwischen Juli und September 2025 warnte das FBI vor einer neuen Quishing-Variante: Kriminelle versenden unaufgefordert Pakete ohne Absender an Privatpersonen. Die Neugier ist geweckt – im Inneren fordert ein QR-Code zum Scannen auf, um mehr über die mysteriöse Lieferung zu erfahren.
Diese Taktik ist eine bösartige Abwandlung des „Brushing Scam“, bei dem Online-Händler unverlangt Waren versenden, um Produktbewertungen zu manipulieren. Hier jedoch ist das Ziel Finanzbetrug.
Das FBI betont: Wer den Code scannt, kann auf Websites gelangen, die persönliche Daten abfragen oder Schadsoftware auf das Telefon laden. Die Behörde rät dringend davon ab, QR-Codes unbekannter Herkunft zu scannen.
Straßenbetrüger werden digital
Die Gefahr beschränkt sich nicht auf E-Mails und Paketsendungen. Kriminelle kleben zunehmend betrügerische QR-Code-Aufkleber über echte Codes – an Parkuhren, Restauranttischen oder anderen öffentlichen Orten.
In Großbritannien stahlen Betrüger bereits Millionen, indem sie gefälschte QR-Codes in Pubs und Restaurants platzierten. Gäste, die ihr Essen bezahlen wollten, wurden auf betrügerische Zahlungsseiten umgeleitet.
Diese „Straßen-Phishing“ nutzt den Kontext aus: Wer parken oder ein Menü ansehen will, hegt weniger Verdacht gegenüber einem QR-Code. Experten empfehlen daher, Codes vor dem Scannen auf Manipulationen zu prüfen – etwa aufgeklebte Sticker über dem ursprünglichen Code.
Warum Quishing explodiert
Mehrere Faktoren befeuern den Quishing-Boom: Die Corona-Pandemie beschleunigte die Verbreitung kontaktloser QR-Code-Zahlungen massiv. Diese Gewöhnung schafft ideale Bedingungen für Missbrauch.
Zudem nutzen Quishing-Angriffe geschickt die Sicherheitslücke zwischen Firmen- und Privatgeräten. Ein Mitarbeiter erhält die betrügerische E-Mail am geschützten Arbeitsplatz, scannt den QR-Code aber mit dem weniger gesicherten Privathandy – und umgeht so die Firmen-Sicherheit.
Sicherheitsexperten kritisieren: Während Schulungen das Erkennen falscher E-Mail-Links lehren, sind viele Nutzer bei QR-Codes unvorbereitet. Studien zeigen, dass nur ein Bruchteil der Angestellten simulierte Quishing-Angriffe erfolgreich identifiziert.
Kampf gegen unsichtbare Bedrohung
Da globale QR-Code-Zahlungen 2025 voraussichtlich 3 Billionen Dollar übersteigen, wächst der kriminelle Anreiz weiter. Sicherheitsexperten erwarten raffiniertere Angriffsmethoden – etwa dynamische QR-Codes, die statische Analysen umgehen.
Experten empfehlen eine mehrschichtige Verteidigung: Privatpersonen sollten unverlangte QR-Codes meiden, Scanner-Apps mit URL-Vorschau nutzen und physische Codes auf Manipulation prüfen. Unternehmen müssen ihre Sicherheitsschulungen um Quishing erweitern und mobile Sicherheitslösungen einsetzen.
Anzeige: Für alle, die regelmäßig QR-Codes scannen: Mit wenigen Einstellungen wird Ihr Android-Smartphone spürbar sicherer. Der Gratis-Guide zeigt die 5 wichtigsten Maßnahmen inkl. Checkliste und URL-Vorschau-Tipps – ideal gegen Phishing und Schadsoftware. Jetzt den Gratis-Ratgeber sichern
Das FBI rät Betroffenen, Vorfälle dem Internet Crime Complaint Center (IC3) zu melden. Die wirksamste Abwehr bleibt jedoch gesunde Skepsis: Jeden QR-Code mit derselben Vorsicht behandeln wie einen verdächtigen Link.
