Ein schneller Scan, ein kurzer Klick – und schon ist es passiert: Was wie ein harmloser QR-Code auf einer Speisekarte oder Parkuhr wirkt, kann sich als perfide Falle entpuppen. Die spanische Polizei warnt auf Mallorca vor einer neuen Betrugsmasche namens „QRishing“, bei der Kriminelle gezielt das Vertrauen von Urlaubern und Residenten ausnutzen.
Die Methode ist so einfach wie wirkungsvoll. QR-Codes sind längst Alltag – in Restaurants, an Parkautomaten oder auf Strafzetteln. Genau diese Gewöhnung nutzen Betrüger aus: Sie überkleben echte Codes mit gefälschten Stickern oder platzieren eigene Codes an stark frequentierten Orten. Wer scannt, landet nicht auf der echten Seite, sondern auf einer täuschend echten Kopie.
Die Technik hinter der Täuschung
Hinter dem Betrug steckt kein kompliziertes Hackerwerkzeug, sondern psychologische Präzision. Der Nutzer scannt einen Code, sein Smartphone öffnet automatisch einen Link – oft ohne dass die Adresse genau geprüft wird. Die gefälschte Website sieht dabei identisch aus: Logo, Farben, Aufbau – alles wirkt vertraut. Dort werden die Opfer dann aufgefordert, Daten einzugeben: E-Mail-Adresse, Telefonnummer oder sogar Kreditkarteninformationen. In manchen Fällen wird im Hintergrund Schadsoftware installiert. Die Folge reicht von Identitätsdiebstahl bis hin zu leergeräumten Konten.
Besonders tückisch: Die Angriffe lauern genau dort, wo Touristen und Residenten sie am wenigsten erwarten. In Bars und Restaurants können manipulierte QR-Codes auf Speisekarten kleben – ein kurzer Scan, und schon befindet man sich auf einer Fake-Seite.
Auch Parkautomaten sind ein beliebtes Ziel. In spanischen Städten wurden bereits Fälle bekannt, bei denen gefälschte Codes auf Parkuhren zu manipulierten Zahlungsseiten führten. Wer dort seine Kartendaten eingibt, bezahlt nicht fürs Parken, sondern direkt an die Betrüger.Weitere Varianten sind täuschend echte Strafzettel mit QR-Code, E-Mails oder SMS mit Scan-Aufforderung sowie manipulierte Ladestationen für Elektroautos. Gemeinsam haben sie alle eines: Sie erzeugen Zeitdruck oder Vertrauen – und genau das macht sie so gefährlich.
Warum QRishing gerade jetzt boomt
Der Erfolg dieser Masche liegt in unserer Routine. Seit der Pandemie haben QR-Codes Speisekarten, Tickets und Broschüren ersetzt. Das schnelle Scannen ist zur Gewohnheit geworden – und genau diese Gedankenlosigkeit ist das Einfallstor für Kriminelle. Im Gegensatz zu klassischen Phishing-Mails braucht QRishing eine aktive Handlung des Opfers. Der Nutzer selbst öffnet die Tür – freiwillig, ohne es zu merken. Für Betrüger ist das ein idealer Angriffsweg.
Wer sich schützen will, muss genauer hinschauen. Ein erster Hinweis kann ein schlecht angebrachter Aufkleber sein: wirkt der QR-Code überklebt, schief oder ungewöhnlich, sollten Sie Abstand nehmen. Ebenso wichtig: Prüfen Sie immer die Internetadresse, bevor Sie Daten eingeben. Moderne Smartphones bieten die Möglichkeit, den Link vor dem Öffnen vollständig anzuzeigen. Stimmen Domain oder Schreibweise nicht exakt mit dem Anbieter überein, ist Vorsicht geboten.
Die wichtigsten Schutzmaßnahmen
Grundregel Nummer eins: Scannen Sie keine Codes, deren Herkunft Sie nicht eindeutig kennen. Besonders bei E-Mails oder SMS mit QR-Codes ist Misstrauen angebracht. Seriöse Unternehmen fordern keine sensiblen Daten über solche Umwege an. Geben Sie niemals Bankdaten ein, nachdem Sie einen unbekannten Code gescannt haben. Halten Sie Ihr Smartphone und Ihre Sicherheitssoftware aktuell und aktivieren Sie, wenn möglich, die Zwei-Faktor-Authentifizierung für wichtige Konten.
Was tun im Ernstfall?
Wenn Sie den Verdacht haben, auf QRishing hereingefallen zu sein, zählt jede Minute. Brechen Sie sofort alle Vorgänge ab und kontaktieren Sie umgehend Ihre Bank, um mögliche Abbuchungen zu stoppen. Ändern Sie anschließend alle wichtigen Passwörter – beginnend mit E-Mail und Bankzugängen. Lassen Sie Ihr Gerät auf Schadsoftware überprüfen und dokumentieren Sie den Vorfall. Zum Schluss sollten Sie Anzeige erstatten. Die spanische Polizei und das Cybersicherheitsinstitut bieten dafür spezielle Meldewege an. Jeder gemeldete Fall hilft, die Netzwerke hinter dieser neuen Betrugsmasche aufzudecken – und vielleicht den nächsten Urlauber vor dem gleichen Fehler zu bewahren.