Zum Inhalt springen
Phishing
Basis·4 Min·DE · EN

Quishing - wenn der QR-Code lügt

QR-Codes wirken harmlos, sind aber der neue Lieblings-Trick der Angreifer. So erkennen Sie Quishing - und scannen wieder sicher.

Warum QR-Codes plötzlich gefährlich sind

QR-Codes haben sich seit der Pandemie überall etabliert - auf Plakaten, Restaurant-Tischen, in E-Mails. Genau das macht sie zum perfekten Phishing-Werkzeug. Sie sehen einen Code, scannen ihn mit dem Smartphone, und landen auf einer Webseite, die Sie ohne den Code nie aufgerufen hätten. Quishing (QR + Phishing) ist 2024-2026 die am schnellsten wachsende Phishing-Form.

01

Filter umgehen

QR-Codes sind Bilder - klassische Mailfilter prüfen sie nicht. Eine Phishing-URL im QR-Code rutscht oft durch.

02

Vom PC aufs Handy

Auf dem Smartphone fehlt der Hover-Effekt. Sie sehen die echte URL erst, wenn die Seite schon lädt.

03

Vertrauen durch Druck

'Parkgebühr fällig', 'Ladegerät defekt - Code scannen'. Klassischer Quishing-Aufhänger im öffentlichen Raum.

Wo Quishing heute auftaucht

  • In E-Mails: „MFA-Setup für Ihr Microsoft-Konto" mit QR-Code statt Link. Der Code führt zu einer Login-Phishing-Seite.
  • Im öffentlichen Raum: Auf bestehende Parkautomaten, Restaurant-Tische oder Ladestationen kleben Angreifer eigene QR-Code-Sticker.
  • Auf Briefpapier: „Rechnung zahlen - QR scannen". Die echte Rechnungs-URL wird ersetzt.
  • Im Auto-WLAN: „Verbindung mit Bord-WLAN - QR scannen". Anschließend Login-Daten-Phishing.

So prüfen Sie einen QR-Code vor dem Öffnen

Moderne Smartphones zeigen die Ziel-URL als Vorschau, bevor der Browser öffnet. Lesen Sie diese Vorschau immer, bevor Sie tippen.

Achten Sie auf:

  • Beginnt die URL mit https://?
  • Ist die Domain die, die Sie erwarten? (parking.zürich.ch, nicht parking-zh-pay.com)
  • Sind dort URL-Shortener wie bit.ly? Dann besondere Vorsicht.
  • Will die Seite sofort Login-Daten? Stoppen.
!

QR-Code als Bild in Mails

Statt eines klickbaren Links zur Anmeldung - sehr selten legitim, fast immer Quishing.

!

Aufkleber über Aufkleber

Wenn ein QR-Code wie überklebt aussieht oder schief sitzt - mit hoher Wahrscheinlichkeit untergeschoben.

!

Druckmittel

'Innerhalb von 10 Minuten zahlen, sonst Strafe.' Legitime Stellen geben Ihnen Zeit.

!

Sofortige Anmelde-Aufforderung

Eine echte Parkgebühr fragt nicht nach Microsoft-Login-Daten.

Echter Fall - Zürich 2025

Auf 12 Parkautomaten in der Innenstadt wurden Aufkleber mit eigenen QR-Codes über den echten Bezahl-Codes platziert. Die untergeschobene URL führte zu einer Seite, die Kreditkartendaten abgriff. Insgesamt 1'400 Karten kompromittiert, bevor die Stadt reagierte. Die Codes waren optisch nicht von den echten zu unterscheiden.

Im öffentlichen Raum ist jeder ungeprüfte QR-Code potenziell manipuliert.

Die einfache Regel

Behandeln Sie QR-Codes wie Links in einer fremden E-Mail. Erst die URL lesen, dann entscheiden.

Wenn etwas wirklich wichtig ist - eine Rechnung, ein Parkticket, ein MFA-Setup - finden Sie immer einen alternativen Weg: die App, die offizielle Website über Ihren gespeicherten Lesezeichen-Eintrag, einen Anruf. Der QR-Code ist Bequemlichkeit, nicht Notwendigkeit.

Schulungs-Katalog

Mehr Module ansehen

12 Module zu Phishing, MFA, Compliance und Remote-Arbeit.

Zum Katalog →

Mitgliederbereich

Mit Quiz und Zertifikat

Fortschritt verfolgen, Quiz absolvieren, PDF-Zertifikat erhalten.

Anmelden →

Bereit, Awareness ernst zu nehmen?

30-Minuten-Demo. Wir zeigen Ihnen eine echte Phishing-Kampagne, ein Quartals-Reporting und das NIS2-Mapping - anhand Ihrer Branche.

Demo buchenKontakt aufnehmen