Achtung Cyberkriminalität

Betrug mit QR-Codes: Was Bauernfamilien über Quishing wissen müssen

Viele Bauernfamilien kaufen und verkaufen gerne Geräte oder Zubehör in Facebook-Gruppen oder auf Marktplätzen. Betrüger tummeln sich dort ebenso gerne – und haben nun eine neue Masche. Beim Quishing nutzen sie gefälschte QR-Codes, um Geld oder Daten zu ergaunern oder schädliche Downloads zu verbreiten.

Von Jeanne Göllner

Publiziert am Montag, 1. Dezember 2025 11:46

Lesedauer 3 Minuten

Thema Digitalisierung

Artikel merken

Kommentare

QR code scam concept - scanning a fraudulent QR code can lead to phishing websites or malware apps.

QR-Codes an ungewöhnlichen Orten oder in E-Mails mit fragwürdigem Absender sollten sofort misstrauisch machen. (Bild: MargJohnsonVA - stock.adobe.com)

Ein falscher QR-Code, ein kurzer Moment des Vertrauens – und 3000 Franken waren weg. Wie der «Blick» letzte Woche berichtete, wurde eine alleinerziehende Mutter aus Zug Opfer einer neuen, besonders fiesen Gaunerei. Sie wollte auf Tutti einen Schulrucksack für 45 Franken verkaufen, als eine angebliche Käuferin namens «Eva» ihr eine gefälschte Post-Quittung schickte. Der darin enthaltene QR-Code führte auf eine täuschend echt wirkende Fake-Seite, auf der das Opfer ihren Twint-Code eingab. Minuten später war ihr Konto geplündert.

Gefälscht oder manipuliert: Warum Quishing so gefährlich ist

«Seit einiger Zeit kursiert eine neue Betrugsmasche, das sogenannte Quishing», erklärt Alina Gedde, Digitalexpertin beim deutschen Versicherungskonzern Ergo, in einer Medienmitteilung. Dabei verwenden Cyberkriminelle gefälschte oder manipulierte QR-Codes, um an sensible persönliche Daten zu gelangen oder Schadsoftware zu verbreiten. Der Begriff ist ein Kofferwort aus «QR» (Quick Response Code) und «Phishing». Das Perfide sei, dass im Gegensatz zu schädlichen Links in E-Mails QR-Codes nicht automatisch von Antivirensoftware geprüft werden können, so die Expertin.

Wie Quishing funktioniert

Quishing beginnt immer mit einem scheinbar harmlosen QR-Code. Die Betrügerinnen und Betrüger platzieren ihn auf Plakaten, in E-Mails, in Briefen, gefälschten Quittungen oder an öffentlichen Orten. Wer den Code scannt, gelangt nicht auf eine seriöse Webseite, sondern auf eine täuschend echt gestaltete Fälschung. Dort fordert die Seite zum Eingeben von Passwörtern, Zahlungsinformationen oder persönlichen Angaben auf.

«In manchen Fällen startet nach dem Scan sogar sofort ein schädlicher Download, der das Smartphone infiziert», sagt Alina Gedde. Besonders begehrt seien Zugangsdaten zum Online-Banking oder zu E-Mail-Konten, Kreditkarteninformationen, Bankverbindungen sowie persönliche Daten wie Name, Adresse, Geburtsdatum oder Telefonnummer. Gefälschte QR-Codes versprechen zum Beispiel den Zugang zu einer Paketverfolgung, das Abhören einer Sprachnachricht oder schnelles Bezahlen an einem Parkautomaten.

Woran man betrügerische QR-Codes erkennt

Unerwartete QR-Codes auf Aufklebern, Zetteln oder Plakaten – insbesondere an ungewöhnlichen Orten oder über bereits vorhandene Codes geklebt – sollten sofort misstrauisch machen. «Auch E-Mails oder SMS mit QR-Codes, die einen fragwürdigen Absender haben oder dringendes Handeln verlangen, gehören zu den typischen Warnzeichen», erklärt Alina Gedde.

Nach dem Scan sind eine fehlende HTTPS-Verschlüsselung oder eine ungewöhnliche Internetadresse mit Tippfehlern oder unbekannten Domains Indizien für einen Betrug. Spätestens dann, wenn eine Webseite direkt nach Passwörtern, Zahlungsinformationen oder persönlichen Daten fragt, besteht akute Gefahr.

Sensible Daten schützen

Am sichersten bleibt der Scan von QR-Codes aus vertrauenswürdigen Quellen wie offiziellen Webseiten oder bekannten Unternehmen. Viele Scanner bieten eine Vorschau der Zieladresse an. Sieht sie ungewöhnlich aus, sollte man vorsichtig sein. Vor jeder Eingabe lohnt sich ein genauer Blick auf die Adresse im Browser: Nur eine korrekte Domain mit HTTPS-Verschlüsselung ist vertrauenswürdig. Persönliche Daten wie Logins oder Zahlungsangaben gehören niemals auf Seiten, bei denen Zweifel bestehen.

«Wer zusätzlich aktuelle Sicherheitssoftware auf dem Smartphone nutzt und wichtige Webseiten lieber manuell eingibt, reduziert das Risiko deutlich», rät die Digitalexpertin.

Was nach einem Fehl-Scan zu tun ist

Taucht beim Scannen ein ungutes Gefühl auf: sofort stoppen und keine Daten mehr eingeben. Wer bereits sensible Informationen preisgegeben hat, sollte unverzüglich Passwörter ändern und die Bank oder den betroffenen Dienst informieren. Auch eine Meldung bei Polizei oder Konsumentenschutz lohnt sich. Im Anschluss bietet sich ein gründlicher Check des Smartphones an, um Schadsoftware oder unerwünschte Apps zu finden und zu entfernen.