Vorsicht vor Betrug mit QR-Codes: So könnt ihr euch schützen

Seit der Corona-Pandemie sieht man sie immer öfter: QR-Codes. Diese setzen sich aus lauter kleinen, schwarzen und weißen Quadraten zusammen und darin sind Daten gespeichert. Werden die Quadrate mit dem Smartphone gescannt, erhält man die im Code gespeicherten Informationen. Man wird damit meistens zu einer Webseite weitergeleitet.

Die QR-Codes kleben auf Tischen in Restaurants oder im Zugabteil, und führen zu Websites, bei denen man sich registrieren kann. Manche Restaurants haben auch die physischen Speisekarten abgeschafft und man wird stattdessen mittels QR-Code zur Speisekarte umgeleitet. Die Codes finden sich aber auch auf gedruckten Zettel, die man beim Impf- oder Testtermin herzeigen muss, damit die Daten schnell übertragen werden können. Oder beim Grünen Pass, wo sie als Nachweis über den 3G-Status dienen.

Sie können vielfältig eingesetzt werden. Beim KURIER dienen sie etwa dazu, dass man über den QR-Code zu weiteren Informationen zu einem bestimmten Thema gelangt. Sie können aber auch dazu verwendet werden, sich damit E-Scooter auszuleihen und zu bezahlen, oder aber um Parkgebühren zu begleichen.

Betrugsmasche mit Parkuhren

Je stärker sich QR-Codes verbreiten, desto eher werden diese jedoch auch von Kriminellen genützt. Die Polizei in mehreren US-Bundesstaaten warnt jetzt vor einer Betrugsmasche, die zuletzt rasant zugenommen hat. Mittels manipulierter QR-Codes wird in mehreren US-Städten von Betrüger*innen versucht, Zahlungsdaten zu stehlen.

Die Masche funktioniert folgendermaßen: Autobesitzer*innen wurde vorgegaukelt, dass sie ihre Parkgebühren mit QR-Codes bezahlen können, die an Parkuhren angebracht sind. Doch die Codes waren gefälscht. Eine andere Masche aus China arbeitet mit der Überklebung von Original-Codes mit manipulierten Codes. So locken Kriminelle Verkehrsteilnehmer*innen auf gefälschte Websites, um dort ihre Zahlungsdaten einzugeben.

„Vor allem in Asien ist das seit Jahren eine gängige Art und Weise, wie versucht wird, Menschen abzuzocken“, erklärt Michael Veit vom Sicherheitsdienstleister Sophos im Gespräch mit der futurezone. „In Asien sind es vor allem E-Scooter, die man mittels QR-Code mieten kann und bei denen die Sticker überklebt worden sind“, sagt Veit. „Das kann in Großstädten wie Berlin oder Wien auch jederzeit passieren und generell kommt dieser Betrugstrend jetzt langsam auch zu uns“, so Veit. Der erste Fall sei ihm bereits vor elf Jahren aufgefallen.

Noch weitgehend unbekannt, daher gefährlich

In Österreich gibt es bislang keine offiziellen Anzeigen dazu, heißt es seitens des Bundeskriminalamts. Auch bei der Landespolizei Wien sind „derzeit keine Fälle im Wiener Stadtgebiet bekannt“. Doch gerade, weil diese Masche in Europa noch so neu ist, ist sie besonders gefährlich, warnt der Sicherheitsexperte von Sophos. „Betrüger*innen haben hierzulande sicher noch ein leichtes Spiel. Die Masche ist noch nicht so weit verbreitet, und daher ist es für Angreifer*innen umso einfacher, sie einzusetzen. Menschen sind, anders als bei Phishing-Versuchen per E-Mail, noch nicht so geschult, den Betrug zu erkennen."

Einen manipulierten Sticker zu identifizieren, der an Restaurant-Tischen, oder auf E-Scootern angebracht ist, ist nahezu unmöglich. Von außen sehen diese Codes völlig unverdächtig auf und ohne sie auszulesen ist es unmöglich, Betrug zu erkennen. Aber es gibt dennoch einige Tipps, wie man sich davor schützen kann, dass Daten gestohlen werden.

Tipps von Expert*innen

Einerseits könnte man für das Scannen des QR-Codes Sicherheits-Apps von vertrauenswürdigen Anbietern einsetzen, die vor dem Öffnen der Website überprüfen, ob es sich dabei um eine legitime Quelle handelt. Veit von Sophos empfiehlt den für Privatanwender*innen kostenlosen Check via Security-App "Intercept X for Mobile", aber auch andere Sicherheitsdienstleiter bieten ähnliche Services an.

Declan Hiscox von der Watchlist Internet gibt zu bedenken, dass nicht alle QR-Code-Scanner, die man online findet, bedenkenlos verwendet werden können. Es gibt da da nämlich auch betrügerische Apps, die es ausnutzen, dass Menschen sich vor Betrug schützen wollen. Sein Tipp: Ladet daher nur QR-Code-Scanner aus den offiziellen App-Stores von Android und Apple oder renommierten Security-Unternehmen herunter.

Überprüfen der Website

Der zweite Tipp betrifft die Kontrolle der Website, zu der der QR-Code führt. „Nach dem Scannen sollte man jedenfalls die Web-Adresse kontrollieren. Ist die Web-Adresse nicht korrekt, gebt keine Daten ein“, sagt Hiscox von der „Watchlist Internet“. Wie bei jedem Phishing-Betrug, sollte die URL auf Rechtschreibfehler und unprofessionelles Design überprüft werden.

Will man etwa im Restaurant lediglich die Speisekarte aufrufen, sollte man stutzig werden, wenn man plötzlich seine Daten eingeben muss. Will man sich bei einem Restaurant registrieren, kann man im Zweifelsfall auch die Kellner*innen fragen, ob das die richtige Website ist, die sich geöffnet hat, bevor man seine Daten eingibt. „Man sollte auf jeden Fall skeptisch sein, wenn sich eine andere Website öffnet, als man eigentlich erwartet hat“, sagt Hiscox.

Sicherheitsexperte Veit ist überzeugt, dass auch bei QR-Code-Betrug Menschen rasch lernen werden, dass sie Vorsicht walten lassen müssen. „Wie man es bei E-Mails mittlerweile gelernt hat, nicht auf alles draufzuklicken, wird man auch bei QR-Codes lernen, nicht jeden Sticker ohne Schutz abzufragen."