Glossar

Quishing

Auch: QR-Code-Phishing, QR-Code-Betrug

Quishing ist Phishing per QR-Code: Ein gefälschter Code führt auf eine Betrugsseite, die deine Bank- oder Kartendaten abgreift.

Quishing ist eine Form von Phishing, bei der ein QR-Code statt eines klassischen Links benutzt wird. Das Wort setzt sich aus „QR-Code" und „Phishing" zusammen. Du scannst den Code mit dem Handy, landest auf einer gefälschten Webseite und sollst dort vertrauliche Daten eingeben.

QR-Codes verbergen ihr Ziel: Anders als bei einem Link siehst du vor dem Scannen nicht, wohin er führt. Genau das machen sich Betrüger zunutze. Polizei und Verbraucherzentralen warnen seit einigen Jahren verstärkt vor Quishing, weil QR-Codes im Alltag normal wirken.

Bekannte Quishing-Maschen

  • Kleinanzeigen-Zahlung: Ein Käufer schickt dir per WhatsApp oder Portal-Nachricht einen QR-Code: „Scannen Sie hier, um die sichere Zahlung einzurichten." Dahinter steckt keine echte Käuferschutz-Seite, sondern ein Formular für Bank- oder Kartendaten. Typisch bei Fake-Kleinanzeigen.
  • Gefälschte Rechnung per Brief oder E-Mail: Ein QR-Code soll die „Rechnung schnell bezahlen" – die Zahlung landet bei Betrügern. Mehr im Begriff Fake-Rechnung.
  • Überklebte Parkautomaten: Betrüger kleben einen eigenen QR-Code über den echten Aufkleber. Wer zahlt, überweist an die Falschen statt an die Kommune.
  • Paket-Aufkleber: Gefälschte „Zustellbenachrichtigung" mit QR-Code an der Tür oder im Briefkasten – oft im Zusammenhang mit Paketbetrug.

Quishing und Smishing – der Unterschied

  • Smishing: Der Link kommt als URL in einer SMS – du tippst darauf.
  • Quishing: Der Link steckt in einem QR-Code – du scannst ihn mit der Kamera.

Beides ist Phishing, nur der Weg zur Betrugsseite ist anders.

So schützt du dich

  • Scanne keine QR-Codes, die dir Fremde schicken oder die überklebt wirken.
  • Prüfe nach dem Scan die angezeigte Webadresse; wirkt sie seltsam, brich ab.
  • Gib niemals Bank- oder Kartendaten auf einer per QR-Code geöffneten Seite ein.
  • Echte Bezahlfunktionen brauchen keinen QR-Code, den dir ein Käufer zuschickt.

Was tun, wenn du Daten eingegeben hast?

  • Karte sofort sperren lassen und deine Bank informieren.
  • Passwörter ändern, falls du dort Zugangsdaten eingegeben hast.
  • Anzeige bei der Polizei erstatten und Screenshots sichern.
  • Die Plattform informieren, wenn der Code über Kleinanzeigen oder Messenger kam.

Im Zweifel kopiere die hinter dem Code liegende Adresse und lass sie vom Fake-Checker prüfen.

Häufige Fragen

Kann mein Handy beim Scannen automatisch etwas Schlimmes öffnen?
Moderne Smartphones zeigen nach dem Scan meist erst die Zieladresse an. Trotzdem: Nicht blind bestätigen. Wirkt die Adresse fremd oder fordert sie sofort Kartendaten, brich ab. Scanne keine Codes von Unbekannten oder überklebte Aufkleber.
Ist Quishing dasselbe wie Smishing?
Beides ist Phishing. Beim Smishing kommt der Link per SMS. Beim Quishing steckt der Link in einem QR-Code – auf dem Brief, der E-Mail, dem Parkautomaten oder in der Kleinanzeigen-Nachricht. Das Ziel ist gleich: deine Daten abgreifen.
Ich habe den Code gescannt und Kartendaten eingegeben. Was tun?
Sofort Karte sperren lassen, Passwörter von einem anderen Gerät ändern und Anzeige bei der Polizei erstatten. Speichere Screenshots der Seite und der Nachricht als Belege.

Verwandte Themen

Bist du auf etwas Verdächtiges gestoßen?

Du bist diesem Begriff in der Praxis begegnet? Prüfe die verdächtige Webseite, E-Mail oder Nachricht jetzt kostenlos mit unserem Fake-Checker.

[▶ JETZT FAKE PRÜFEN ]