Quishing ist eine Form des Phishings über manipulierte QR-Codes. Ziel ist es, Nutzer auf gefälschte Webseiten zu leiten, um Passwörter, Banking-Logins oder Kreditkartendaten zu stehlen.

Wie erkenne ich manipulierte QR-Codes an Ladesäulen?

Achten Sie auf Aufkleber, die über dem originalen Code angebracht wurden (Knibbel-Test). Prüfen Sie zudem die URL-Vorschau auf Ihrem Smartphone-Bildschirm auf Unstimmigkeiten.

Schützen Passkeys vor Quishing?

Ja, Passkeys bieten exzellenten Schutz, da sie technisch an die echte Domain gebunden sind. Auf einer gefälschten Quishing-Seite funktioniert die Authentifizierung per Passkey nicht.

Quishing: QR-Code Betrug bei Bankbriefen, Ladesäulen & Fake-Strafzetteln erkennen und schützen

QR-Code Betrug (Quishing): So erkennen Sie die Fallen

20. Februar 2026

Quishing: Wenn das Pixel-Quadrat zur Falle wird – Die Masche 2026. QR-Codes sind das Bindeglied zwischen physischer Welt und digitalem Komfort. Doch genau hier klafft eine Sicherheitslücke: Das menschliche Auge kann den Zielort eines QR-Codes nicht lesen. Kriminelle nutzen dieses „blinde Vertrauen“ für Quishing (QR-Phishing). Ob gefälschte Strafzettel, präparierte Ladesäulen oder täuschend echte Bankbriefe – die Betrugsmasche ist heute so professionell wie nie zuvor. Wir zeigen Ihnen, wie Sie die unsichtbare Gefahr entlarven.

Warn-Update: Februar 2026

Laut Phishing-Radar der Verbraucherzentrale stehen aktuell folgende Maschen im Fokus:

Banken-Betrug: Gefälschte Briefe (z.B. Commerzbank, Volksbank) fordern zur „photoTAN-Aktualisierung“ via QR-Code auf.
Behörden-Fake: Angebliche Mahnungen zur ELSTER-Steuererstattung nutzen QR-Codes, um Login-Daten abzugreifen.
KI-Faktor: Kriminelle nutzen LLMs , um Texte perfekt zu lokalisieren – Rechtschreibfehler als Warnsignal gehören der Vergangenheit an.

Der „Knibbel-Test“: Sofortschutz für unterwegs

Bevor Sie einen QR-Code an öffentlichen Automaten (Parken, E-Laden) scannen: Fahren Sie mit dem Fingernagel über den Code. Spüren Sie eine Kante? Echte QR-Codes bei seriösen Anbietern sind meist hinter Glas oder direkt in die Frontplatte eingraviert. Ein Aufkleber ist ein massives Warnsignal für Manipulation.

Die perfidesten Maschen

Betrüger setzen auf emotionalen Druck und die Schnelligkeit des Alltags. Hier sind die aktuellen Szenarien:

Die Ladesäulen-Falle: Bezahl-Codes werden überklebt. Opfer landen auf Fake-Seiten, die Kreditkartendaten für „Ladevorgänge“ abgreifen.
Der photoTAN-Brief: Offiziell wirkende Post verlangt eine Sicherheits-Aktualisierung per Scan – eine direkte Brücke in Ihr Online-Banking.
Digitale Strafzettel: Ein Zettel am Scheibenwischer täuscht ein Bußgeld vor. Wer „sofort“ scannt, zahlt direkt an die Betrüger.

Experten-Wissen: Die Browser-Falle

Moderne Quishing-Seiten nutzen oft sogenanntes Frame-Hosting. Dabei wird die echte Website Ihrer Bank in einem unsichtbaren Rahmen geladen, während im Vordergrund ein gefälschtes Eingabefeld für Ihre Daten liegt. So wirkt die Seite auf den ersten Blick absolut authentisch. Prüfen Sie daher immer, ob Sie auf der Seite navigieren können (z.B. Impressum anklicken), bevor Sie Daten eingegeben. Mehr zu: Frame-Hosting .

Das sagt die Verbraucherzentrale

Die Verbraucherzentrale rät: Banken fordern niemals sensible Login-Daten über einen unaufgefordert zugesandten QR-Code an. Nutzen Sie zur Verifizierung immer die offizielle App oder geben Sie die URL manuell im Browser ein. Melden Sie verdächtige Funde direkt im Phishing-Radar. Mehr zu der: Verbraucherzentrale .

URL-Analyse: Den Link im Browser prüfen

Achten Sie in der Link-Vorschau auf Details:

Bindestrich-Trick: commerzbank.de-login.com ist NICHT commerzbank.de.
HTTPS-Sicherheit: Das Schloss-Symbol bedeutet nur, dass die Verbindung verschlüsselt ist. Es sagt nichts darüber aus, ob die Gegenseite kriminell ist.

Die Lösung: Passkeys statt Passwörter

Stellen Sie Ihre Accounts (Google, Amazon, Banking) nach Möglichkeit auf Passkeys um. Passkeys sind an die echte Domain gebunden. Wenn Sie auf einer Quishing-Seite landen, wird Ihr Smartphone den Passkey gar nicht erst zur Anmeldung anbieten – der Betrug wird technisch im Keim erstickt. Mehr zu: Passkeys bei der Verbraucherzentrale.

Soforthilfe & Meldestellen

Falls Sie bereits Daten eingegeben haben:

Bankkarten sperren: Notruf 116 116 wählen.
Passwörter ändern: Von einem sauberen Gerät aus alle Accounts sichern.
Anzeige erstatten: Nutzen Sie die Internetwache der Polizei oder melden Sie die URL bei Google Safe Browsing .

Fazit

QR-Codes sind praktisch, erfordern aber heute dieselbe Vorsicht wie ein unbekannter E-Mail-Anhang. Der „Knibbel-Test“ und der Einsatz von Passkeys sind Ihre besten Waffen gegen moderne Betrüger. Bleiben Sie misstrauisch!

Erstellt von Shopper Safety Redaktion | Veröffentlicht: 27.11.2024 / Zuletzt bearbeitet: 20.02.2026.

FAQ zur QR-Code Betrugsmasche

Woran erkenne ich gefälschte Bankbriefe mit QR-Code?

Oft fehlt die persönliche Anrede. Zudem führt der Link meist auf eine Domain, die nur optisch nach der Bank aussieht (z.B. mit Bindestrich statt Schrägstrich).

Was ist der sicherste QR-Scanner?

Nutzen Sie die systemeigene Kamera-App und lesen Sie die Link-Vorschau. Für zusätzlichen Schutz bieten Apps von Antiviren-Herstellern einen automatischen URL-Check.

Können auch statische QR-Codes gefährlich sein?

Ja, wenn sie physisch überklebt wurden. Bei digitalen Codes in E-Mails ist die Gefahr geringer, sofern Ihr Provider einen aktiven Link-Scanner einsetzt.

Alle Blogbeiträge ansehen

Produkt wurde in den Warenkorb gelegt