Was bedeutet Quishing:Bedeutung, Definition & Herkunft
Die Verbraucherzentrale warnte jüngst vor einem zunehmend angewendeten Trend-Betrug namens Quishing. Der Begriff lässt schon durch die Schreibweise Parallelen zum Phishing erkennen. Dabei geht es um das illegale Erreichen von Kontodaten durch Kriminelle. Beim Quishing liegt im Prinzip dasselbe Interesse der Kriminellen zugrunde. Nur wird dieses mal ein QR-Code dafür genutzt, Gelder auf eigene Konten umzuleiten.
Inhalt
Was bedeutet Quishing
Cyberkriminelle entwickeln ständig neue Tricks, um Menschen um ihr Geld zu bringen. Im Fall des Quishings versuchen Kriminelle mit QR-Codes, arglose Menschen auf gefälschte Webseiten zu führen und um ihr Geld zu bringen.
Problematisch ist dabei, dass man einem QR-Code nicht ansieht, ob sich dahinter kriminelle Strategien verbergen. Zudem zeigen manche Smartphones nicht an, was sich hinter einem QR-Code verbirgt. Manche Handys fragen zunächst an, ob auf der angezeigten Internetadresse eine Aktion ausgeführt werden soll. Andere Smartphones öffnen die Webseite sofort. Das könnte mit einer App verhindert werden.
Für das Quishing genutzte QR-Codes werden beispielsweise mit gefälschten Schreiben von Banken und Sparkassen verschickt. Man findet sie auch auf E-Ladesäulen, wo sie die ursprünglich dort angebrachten QR-Codes überdecken oder auf Strafzetteln, die nicht von echten Politessen stammen.
Woher kommt der Begriff: Ursprung
Die als Quishing bezeichnete kriminelle Strategie bezieht sich auf das illegale Fischen von Passwörtern und Kontodaten. Abgeleitet vom Begriff Phishing für den geplanten Missbrauch von illegal erlangten Kontodaten wurde für ähnlich gelagerte Betrugsversuche mittel QR-Code der Begriff Quishing geprägt.
Beide Begriffe entstammen der englischen Sprache. Die Anlehnung an das Wort „fishing“ für Angeln oder Fischen ist erkennbar. Solche Begriffsanlehnungen werden als Neologismen bezeichnet. Das bedeutet, dass auf der Basis eines ähnlich klingenden und bereits bekannten Begriffs neue Begriffsprägungen erfolgen. Aus Fishing wird Phishing, daraus dann Quishing.
Typisch für Neologismen ist, dass sie als prägende Begriffe bzw. Wort-Neuschöpfungen so häufig verwendet werden, dass sie bald in den allgemeinen Sprachgebrauch übernommen werden.
Wo kann Quishing überall angewandt werden
Prinzipiell kann das Quishing überall dort verwendet werden, wo QR-Codes eingebunden werden, um Menschen direkt zu einer Bezahl-Webseite zu leiten. Der harmlos aussehende QR-Code öffnet dem Quishing Tür und Tor. Die Verbraucherzentralen schilderten in ihrer Warnung an Verbraucher drei typische Fallbeispiele.
Im ersten Fall erhalten Commerzbank-Kunden täuschend echt wirkende Schreiben ihrer Bank. Sie werden darin aufgefordert, zwecks Sicherheitsüberprüfung ein photoTan-Verfahren durchzuführen. Man soll einen QR-Code scannen und den Anweisungen folgen. Doch der QR-Code führt nicht zur Commerzbank, sondern auf eine gefälschte Webseite von Cyberkriminellen. Auch die Kunden anderer Banken erhalten ähnliche Schreiben.
Aufgefallen ist dieser Betrugsversuch, weil eine der angeschriebenen Bankkundinnen gar kein Commerzbank-Konto nutzte und den Quishing-Versuch meldete. Das Landeskriminalamt Nordrhein-Westfalen warnte davor, auf solche Schreiben hereinzufallen. Sie dienen dazu, Kunden zu Zahlungen zu veranlassen oder durch die erlangten Zugangsdaten unberechtigte Abbuchungen von deren Konten zu ermöglichen.
Bankkunden können durch die geschickten Fälschungen nicht unbedingt erkennen, dass es sich nicht um die korrekte Bezahl-Webseite handelt. Prinzipiell lassen sich solche Betrugsversuche mit QR-Codes auch an sämtlichen Automaten durchführen, die bei Bezahlvorgängen auf QR-Codes setzen.
Mehrere Medien warnten im August 2024 vor falschen QR-Codes an E-Ladesäulen. Die dort klebenden QR-Codes, die der Bezahlung dienen, wurden einfach überklebt. Folglich bezahlten die Kunden Kriminelle statt des eigentlichen Anbieters. Überklebte QR-Codes lassen sich nur schwer erkennen. Manche Ladesäulen haben zusätzlich ein Display, von dem das Scannen des QR-Codes unproblematisch ist. Außerdem sind Bezahlungen mit einer Ladekarte über eine App möglich.
Ähnliche Betrugsversuche wurden bei Parkscheinautomaten gemeldet. Im November 2024 warnte das Landeskriminalamt Niedersachsen vor überklebten QR-Codes, die in Hannover auf mehreren Parkscheinautomaten entdeckt wurden. Die Kunden werden damit auf eine gefälschte Bezahlseite geführt. Erkennbar wird die Fälschung bestenfalls an falsch geschriebenen Umlauten wie ä, ö oder ü. Außerdem fiel auf, dass Parkzeiten über das normale Zeitfenster hinaus verlängern werden können – was teurer ist.
Auch Strafzettel werden inzwischen von Kriminellen gefälscht und mit QR-Codes versehen. Ordnungsämter oder Politessen in einigen Großstädten nutzen tatsächlich QR-Codes. Mit diesen können Falschparker die angemahnte Gebühr sofort entrichten. Die Betrüger stellen täuschend echt aussehende Strafzettel her und klemmen diese hinter die Scheibenwischer parkender Autos. Gemeldet wurden solche Fälle von Quishing erstmals in Berlin.
Wie kann man sich davor schützen
Man sollte grundsätzlich misstrauisch sein, wenn man ein Schreiben seiner Bank mit einem QR-Code erhält, um damit eine Online-Überprüfung wichtiger TAN- oder PIN-Nummern durchführen soll. Solche Schreiben enthalten ein täuschend echtes Bank-Logo. Gegebenenfalls nach dem Erhalt solcher Schreiben die Bank anrufen und nachfragen. Bei Verdacht auf kriminelle Machenschaften Anzeige erstatten.
QR-Codes sollten nur dann gescannt werden, wenn sie einem seriös erscheinen. Bei manchen Smartphones werden die Inhalte von QR-Codes durch eine Kamera-App angezeigt, bevor man den dahinter stehenden Link anklickt, um die Webseite zu öffnen. Bei anderen aber nicht. Die gefälschten Linkadressen wirken auf den ersten Blick echt. Doch bei genauerem Hinsehen erkennen Sie seltsame Textversatzstücke hinter dem Bankennamen.
Wer ein Smartphone besitzt, auf dem der QR-Scanner die IP-Adresse der Webseite nicht vor dem Ausführen einer Aktion anzeigt, sollte sich eine entsprechende App zulegen und zukünftig alle QR-Codes damit scannen. Damit wird dem Quishing Einhalt geboten. Verräterisch können laut der Verbraucherzentralen bei gefälschten IP-Adressen schon die Satzzeichen sein. Eine IP-Adresse wie „beispielanbieter.de/123“ führt tatsächlich auf eine Unterseite der hier „Beispielanbieter.de“ genannten Webseite.
Steht dort aber „beispielanbieter.de-123.com“ führt der Link nicht zum angezeigten Beispielanbieter, sondern auf die Unterseite der möglicherweise gefälschten Webseite „de-123.com“. Falls Sie Post mit einem QR-Code erhalten haben, vergewissern Sie sich beim Absender, dass damit alles seine Richtigkeit hat. Rufen Sie jedoch nicht die Telefonnummer aus dem Anschreiben an, sondern eine von Ihnen ermittelte Nummer aus dem Telefonbuch. Menschen, die ein Onlinebanking-Konto nutzen, finden sämtliche relevanten Nachrichten dort.
Fällt Ihnen auf, dass ein QR-Code offensichtlich überklebt wurde, nutzen Sie einen anderen Bezahlweg. Falls die Zahlung bereits getätigt wurde, erstatten Sie Anzeige. Benachrichtigen Sie zudem Ihre Bank und wählen Sie den Sperr-Notruf unter der Telefonnummer 116116.