How can I tell if a QR code is safe before scanning it?

You cannot determine a QR code's safety just by looking at it, which is why you should use a QR scanner app that previews the destination URL before opening it. Check that the URL matches the expected domain exactly, looking for misspellings or suspicious extensions. For physical QR codes, inspect for signs of tampering like stickers over original codes or poor print quality.

What should I do if I accidentally scanned a malicious QR code?

Immediately close the browser window without entering any information or clicking links. If you already entered credentials, change your passwords immediately on all affected accounts using a different device. Monitor your bank and credit card statements for unauthorized transactions and consider placing fraud alerts with credit bureaus if you provided personal or financial information.

Are QR codes in emails always dangerous?

Not all QR codes in emails are malicious, but they should be treated with extreme caution because they're a common attack vector. Legitimate companies rarely send QR codes for sensitive actions like password resets or payments in unsolicited emails. Always verify the sender's authenticity through independent channels and prefer typing URLs directly rather than scanning codes for important accounts.

Can my phone get infected with malware just by scanning a QR code?

Simply scanning a QR code typically won't infect your device, but the destination website could prompt you to download malicious apps or exploit browser vulnerabilities. Modern smartphones usually require explicit permission before downloading files, but sophisticated attacks can exploit zero-day vulnerabilities. Using updated mobile security software and keeping your operating system current provides important protection.

Why don't email security systems catch QR code phishing attacks?

Traditional email security filters scan text, URLs, and attachments for known malicious patterns, but QR codes appear as harmless images in email analysis. The malicious URL is encoded within the image itself, making it invisible to standard scanning tools. This is why quishing attacks have become so prevalent—they exploit a blind spot in conventional email security infrastructure.

Hohes Risiko Durchschnittlicher Schaden: $1,500 Typische Dauer: 1-3 days

Quishing (QR-Code-Phishing): Ein umfassender Schutzleitfaden

Quishing oder QR-Code-Phishing ist eine schnell wachsende Cyberangriffsmethode, bei der Kriminelle legitime QR-Codes durch bösartige ersetzen oder gefälschte Codes erstellen, die Opfer auf Betrugseiten umleiten. Nach dem Internet Crime Complaint Center des FBI stiegen QR-Code-bezogene Betrügereien zwischen 2022 und 2023 um 587%, mit durchschnittlichen Verlusten von 1.500 Euro pro Vorfall. Diese Angriffe nutzen die Tatsache aus, dass QR-Codes für Menschen nicht lesbar sind, wodurch es unmöglich ist, ein Ziel vor dem Scannen zu überprüfen. Der Betrug funktioniert typischerweise durch das Platzieren betrügerischer QR-Codes auf Parkuhren, Restauranttischen, Produktverpackungen oder in E-Mail-Anhängen, die angeblich von legitimen Unternehmen stammen. Beim Scannen leiten diese Codes Opfer auf überzeugende gefälschte Websites weiter, die entwickelt wurden, um Anmeldedaten, Bankinformationen oder Zahlungskartendaten zu sammeln. In Unternehmensumgebungen senden Angreifer QR-Codes per E-Mail, die traditionelle Sicherheitsfilter umgehen und Mitarbeiter auf gefälschte Microsoft-365-Anmeldeseiten oder Gehaltsportale führen. Was Quishing besonders gefährlich macht, ist seine Fähigkeit, herkömmliche Sicherheitsmaßnahmen zu umgehen. Traditionelle E-Mail-Sicherheitssysteme scannen URLs und Anhänge auf bösartige Inhalte, aber QR-Codes erscheinen als harmlose Bilder. Zusätzlich öffnen viele Smartphones automatisch Links aus QR-Codes, ohne die vollständige URL zuerst anzuzeigen, was Opfern keine Möglichkeit gibt, das Ziel zu überprüfen. Die Federal Trade Commission berichtete, dass Unternehmen 2023 über 48 Millionen Euro durch QR-Code-Betrügereien verloren haben, wobei sowohl Verbraucher als auch Mitarbeiter Opfer dieser ausgefeilten Angriffe wurden.

Häufige Methoden So erkennen Sie es So schützen Sie sich Reale Beispiele Wo melden

Häufige Methoden

• Physischer QR-Code-Austausch: Betrüger drucken Aufkleber mit bösartigen QR-Codes und kleben sie über legitime Codes auf Parkuhren, Restaurant-Zahlungsterminals, Ladestationen für Elektrofahrzeuge und Paketlabels, um Zahlungen auf ihre eigenen Konten umzuleiten.
• E-Mail-basierte Quishing-Kampagnen: Angreifer versenden professionell aussehende E-Mails, angeblich von IT-Abteilungen, HR oder Finanzinstituten, mit QR-Codes für dringende Passwort-Zurückstellungen, Multi-Faktor-Authentifizierungseinrichtung oder Rechnungszahlungen, die zu Credential-Harvesting-Seiten führen.
• Gefälschte Verwarnungen: Kriminelle platzieren betrügerische Verwarnungen an Windschutzscheiben mit QR-Codes, die angeblich schnelle Zahlungsoptionen anbieten, aber tatsächlich Kreditkarteninformationen und persönliche Daten beim Scannen stehlen.
• Kryptowährungs-Investitions-Köder: Betrüger verteilen QR-Codes über soziale Medien und Messaging-Apps und behaupten, Zugang zu exklusiven Kryptowährungs-Investitionsmöglichkeiten zu bieten, stehlen aber tatsächlich digitale Geldbörsen der Opfer beim Scannen.
• Paketlieferungs-Betrügereien: Betrüger versenden SMS oder E-Mails mit QR-Codes, die angeblich Paketlieferungen umplanen oder Zollgebühren bezahlen, führen aber zu gefälschten Postserviceseiten, die Zahlungskartendaten erfassen.
• Restaurant-Menü- und Zahlungs-Betrügereien: Angreifer erstellen gefälschte QR-Codes für digitale Menüs oder Tischservice-Zahlungen in Restaurants und leiten Gäste auf Look-alike-Seiten weiter, die Kreditkartendaten stehlen, wenn Kunden ihre Rechnungen bezahlen möchten.

So erkennen Sie es

URL-Vorschau-Unstimmigkeit: Überprüfen Sie vor dem Öffnen des Links, ob Ihr Telefon eine Vorschau-URL anzeigt, die nicht mit dem erwarteten Ziel übereinstimmt (z. B. ein Parkuhren-QR-Code, der eine persönliche Website-URL anstelle der offiziellen Stadt-Domain zeigt).
Anzeichen physischer Manipulationen: Suchen Sie nach Aufklebern über ursprünglichen QR-Codes, falsch ausgerichteter Druckfläche, unterschiedlicher Papierqualität oder Codes, die nachträglich hinzugefügt anstatt als professionell gedruckter Teil des Originalmaterials erscheinen.
Anfragen zur dringenden Aktion: Seien Sie misstrauisch gegenüber QR-Codes, die von bedrohender Sprache wie "Konto wird in 24 Stunden gesperrt", "dringende Sicherheitsaktualisierung erforderlich" oder "zahlen Sie innerhalb von 2 Stunden, um Strafen zu vermeiden" begleitet werden, da legitime Dienste selten solche Drucktaktiken einsetzen.
Generische oder unpersönliche Kommunikation: E-Mails oder Nachrichten mit QR-Codes, die Ihren tatsächlichen Namen nicht verwenden, auf vage Kontoprobleme verweisen oder spezifische Details über Ihre Beziehung zum angeblichen Absender fehlen, sind wahrscheinlich Betrügereien.
Unerwartete Authentifizierungsanfragen: Wenn Sie unaufgefordert QR-Codes erhalten, die Multi-Faktor-Authentifizierung einrichten, Kontodaten überprüfen oder Identität bestätigen sollen, ohne dass Sie einen solchen Prozess eingeleitet haben, ist dies ein großes Warnsignal.
Zahlungsempfänger-Inkonsistenz: Wenn ein QR-Code zu einer Zahlungsseite führt, überprüfen Sie den Namen des Empfängers, Geschäftsdetails und Zahlungsanbieter, um sicherzustellen, dass sie den Erwartungen entsprechen—Betrüger verwenden oft persönliche Konten oder unbekannte Zahlungsplattformen anstelle etablierter Handelsdienste.

So schützen Sie sich

Installieren Sie einen QR-Scanner mit URL-Vorschau: Verwenden Sie QR-Code-Reader-Apps, die die vollständige Ziel-URL anzeigen, bevor sie geöffnet wird, und überprüfen Sie immer, dass die Domain der legitimen Organisation entspricht (achten Sie auf subtile Tippfehler wie "micros0ft.de" mit einer Null anstelle eines "o").
Geben Sie offizielle URLs manuell ein: Scannen Sie statt QR-Codes für sensible Aktionen wie Banking, Passwort-Zurückstellung oder Zahlungen lieber die offizielle Website, indem Sie die URL direkt in Ihrem Browser eingeben oder gespeicherte Lesezeichen verwenden.
Überprüfen Sie physische QR-Codes vor dem Scannen: Untersuchen Sie Parkuhren, Zahlungsterminals und Produktverpackungen auf Anzeichen von Manipulationen—legitime QR-Codes sollten als Teil des Originalmaterials gedruckt sein, nicht über Aufkleber oder separate Etiketten hinzugefügt.
Aktivieren Sie Zwei-Faktor-Authentifizierung auf allen Konten: Selbst wenn Betrüger Ihre Anmeldedaten durch Quishing erhalten, verhindert ordnungsgemäße 2FA mit Authenticator-Apps (nicht SMS) den Zugriff ohne den sekundären Bestätigungscode.
Kontaktieren Sie Organisationen über offizielle Kanäle: Wenn Sie einen QR-Code erhalten, der dringende Maßnahmen fordert, kontaktieren Sie die Organisation unabhängig über Telefonnummern oder Websites aus offiziellen Quellen, nicht über Informationen in der verdächtigen Nachricht.
Verwenden Sie Mobile-Security-Software: Installieren Sie seriöse Mobile-Security-Apps, die bösartige Websites erkennen und blockieren können, selbst wenn sie über QR-Codes aufgerufen werden, und bieten so zusätzlichen Schutz gegen Credential-Diebstahl und Malware.

Reale Beispiele

Ein Kleinunternehmer erhielt eine E-Mail, die angeblich von seinem Buchhaltungssoftware-Anbieter stammte, mit einem QR-Code für "obligatorische Sicherheitsüberprüfung". Das Scannen führte zu einer überzeugenden gefälschten Anmeldeseite, auf der er seine Anmeldedaten eingab. Innerhalb von 2 Stunden griff der Betrüger auf sein Konto zu, änderte Wiederherstellungsinformationen und reichte betrügerische ACH-Überweisungen im Gesamtwert von 8.400 Euro auf externe Konten ein. Das Unternehmen entdeckte die Verletzung erst, als legitime Zahlungsanfragen wegen unzureichender Deckung abgelehnt wurden.

Restaurant-Gäste bei einem beliebten Lokal in der Innenstadt scannten QR-Codes auf Tisch-Aufstellern, um das Menü anzusehen, ohne zu wissen, dass Betrüger die legitimen Codes über Nacht ersetzt hatten. Die gefälschten Codes führten zu einer geklonten Website, die mit dem tatsächlichen Bestellsystem des Restaurants identisch aussah. Über ein Wochenende gaben 47 Kunden ihre Kreditkarteninformationen ein, um für Mahlzeiten zu bezahlen, wobei Betrüger die gestohlenen Daten sofort für betrügerische Einkäufe im Durchschnitt von 2.300 Euro pro Karte verwendeten, bevor das Restaurant die Manipulation entdeckte.

Wo melden — Deutschland

Offizielle Stellen in Ihrer Region zum Melden dieses Betrugs.

BSI Bürger-CERT

Cyberkriminalität

Bundesamt für Sicherheit in der Informationstechnik – Warnungen und Beratung für Bürger.

Besuchen →

Polizei Online-Wache

Meldung

Online-Anzeige von Betrug bei der Polizei Ihres Bundeslandes.

Besuchen →

Verbraucherzentrale

Verbraucherschutz

Beratung für Verbraucher bei Online-Betrug und Phishing.

Besuchen →

BaFin Verbraucherschutz

Finanzaufsicht

Bundesanstalt für Finanzdienstleistungsaufsicht – Anlagebetrug und Banken-Beschwerden.

Besuchen →

Glauben Sie, auf diesen Betrug gestoßen zu sein?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), quishing (qr-code-phishing): ein umfassender schutzleitfaden is described at https://scamlens.org/de/encyclopedia/quishing-qr-code-phishing.

https://scamlens.org/de/encyclopedia/quishing-qr-code-phishing

Hier starten

Sicherheitsprüfung

Intelligence

Tools & Berichte

Premium-Dienste

Erweiterung & API

Quishing (QR-Code-Phishing): Ein umfassender Schutzleitfaden

Häufige Methoden

So erkennen Sie es

So schützen Sie sich

Reale Beispiele

Wo melden — Deutschland

BSI Bürger-CERT

Polizei Online-Wache

Verbraucherzentrale

BaFin Verbraucherschutz

Glauben Sie, auf diesen Betrug gestoßen zu sein?

How to cite this guide