Hierauf sollten Sie achten

Vorsicht vor "Quishing": So schützen Sie sich vor dem QR-Code-Betrug

Aktualisiert: 11.08.2025
16:22 Uhr
dpa

Gefahr per QR-Code: "Quishing" kann auch im öffentlichen Raum lauern.(Symbolbild)© Nico Tapia/dpa-tmn

Wenn Betrüger QR-Codes generieren, ist auch das Paypal-Konto potenziell in Gefahr. Was es mit "Quishing" auf sich hat und wie Sie sich am besten dagegen schützen können.

Das Wichtigste in Kürze

Beim "Quishing" - zusammengesetzt aus QR-Code und Phishing - erstellen Betrüger:innen QR-Codes, die zu gefälschten Webseiten führen.
Die Verbraucherzentrale Brandenburg warnt: Wer seine Anmeldedaten dort eintippt, gewährt unter Umständen Zugriff auf das eigene Konto.
Doch es gibt Warnsignale, die auf "Quishing" hinweisen.

"Quishing" klingt vielleicht erst einmal merkwürdig, bedeutet aber nichts anderes als Phishing per QR-Code. Beim Quishing generieren Betrüger:innen QR-Codes, die auf gefälschte Websites weiterleiten. Wer dort seine Anmeldedaten eintippt, gefährdet nicht nur die Log-in-Daten, sondern mit Pech auch das eigene Konto, warnt die Verbraucherzentrale Brandenburg (VZB).

Immer frisch, immer aktuell! News aus Deutschland und der Welt

KOSTENLOS auf Joyn: Die neuesten Videos zu News und Hintergründen jetzt streamen!

Denn ein Ziel der Betrugsmasche kann das Paypal-Konto sein. So wurde ein Verkäufer auf einer Plattform für gebrauchte Kleidung ein Opfer des Betrugs. Der angebliche Käufer schickte dem Verkäufer einen QR-Code, über welchen die Zahlung autorisiert werden sollte. In der Realität leitete er aber auf eine gefälschte Paypal-Seite weiter. Die gefälschte Website sah zwar nahezu wie die Originalseite aus, leitete die eingetippten Informationen jedoch direkt an die Betrüger:innen weiter. Der Verkäufer meldete sich an und wenige Momente später wurden mehrere Zahlungen in Höhe von insgesamt über 3.000 Euro von seinem Konto getätigt.

Zahlungsbestätigungen werden selten verlangt

Doch Quishing kommt nicht ganz ohne Warnsignale. Und das fängt schon direkt bei der Zahlungsmethode an.

Generell sollten die auf der Plattform angebotenen Zahlungsmethoden verwendet werden. Besteht jemand darauf, die Zahlung außerhalb der Plattform abzuwickeln, sollten die Alarmglocken läuten. Im Normalfall sollte das Geld ohne eine Bestätigung aufs Konto überwiesen werden - eine extra Zahlungsbestätigung ist untypisch. Und im Zweifel: Den Zahlungsweg selbst aussuchen. Auf seriösen Plattformen sollte der Zahlungsweg vom Verkäufer bestimmt werden, und nicht vom Käufer, so Erk Schaarschmidt, Jurist bei der VZB.

Hintergründe und exklusive Videos

Mehr Nachrichten aus Politik, Wirtschaft, Panorama und Sport finden Sie jederzeit auf newstime.de.

Wer die Anmeldedaten noch extra schützen will, sollte eine Zwei-Faktor-Authentifizierung (2FA) einrichten, empfiehlt die VZB. Das kann etwa im Fall von Paypal sowohl für Zahlungen selbst, als auch bereits für den Log-in aktiviert werden. Damit kommen die Betrüger:innen nicht ohne eine weitere Bestätigung, durch etwa einen Code in einer SMS oder 2FA-App, in den Account.

Nicht nur im Postfach, auch auf der Straße

Doch trügerische QR-Codes werden nicht nur verschickt - sondern oft auch auf der Straße verteilt. Gefälschte QR-Codes können etwa in Verkehrsmitteln, an Parkautomaten oder sogar auf unechten Strafzetteln lauern, so die VZB. Wer den Link vorher checken will, kann das bei vielen Smartphones tun. Viele Geräte zeigen den Link an, bevor man ihn öffnet. Kennt man die Originaladresse, kann man sie mit der Gescannten abgleichen.

Generell empfiehlt die Verbraucherzentrale: QR-Codes mit unbekannter Herkunft sollten zur Sicherheit nie eingescannt werden.