Fiese Betrugsmasche auf Mallorca: QR-Scan kann Urlaub ruinieren

Auf Mallorca und in anderen Teilen Spaniens schlagen Behörden Alarm: Unter dem Namen "QRishing", auch als "Quishing" bekannt, verbreitet sich eine neue Form des digitalen Betrugs. Sie nutzt etwas, das für viele Menschen selbstverständlich geworden ist – den schnellen Scan eines QR-Codes im Alltag. Betroffen sind vor allem Tourist:innen und Einheimische, die in Restaurants, an Parkuhren oder bei Online-Zahlungen auf vermeintlich vertraute Angebote zurückgreifen.

QR-Codes sind heute überall zu finden: auf Speisekarten, an Parkautomaten, in E-Mails oder auf Strafzetteln. Betrüger:innen machen sich diese Alltäglichkeit zunutze. Sie überkleben echte Codes mit gefälschten Stickern oder bringen eigene Codes an stark frequentierten Orten an., wie das "Mallorca Magazin" berichtet. Wer den Code scannt, landet dann nicht auf der echten Seite, sondern auf einer täuschend echt nachgebauten Kopie – inklusive Logo, Farben und Aufbau.

So funktioniert "QRishing" - Polizei warnt Mallorca-Tourist:innen

Die Falle setzt oft schon beim ersten Klick an: Viele Smartphones öffnen nach dem Scannen eines QR-Codes automatisch einen Link, ohne dass Nutzer:innen die Webadresse genau prüfen. Auf der gefälschten Seite werden sie dann gebeten, Daten einzugeben – etwa E-Mail-Adresse, Telefonnummer oder sogar Kreditkarteninformationen. In manchen Fällen wird im Hintergrund zusätzlich Schadsoftware installiert, die weitere Daten auslesen oder Zugriffe ermöglichen kann.

Die Folgen können gravierend sein. Sie reichen von Identitätsdiebstahl – wenn persönliche Daten missbraucht werden – bis hin zu leergeräumten Bankkonten, wenn Kartendaten in falsche Hände geraten.

Angriffe dort, wo niemand sie erwartet

Laut den Warnungen der spanischen Behörden treten Manipulationen vor allem dort auf, wo Menschen ohnehin mit QR-Codes rechnen. In Bars und Restaurants können gefälschte Aufkleber direkt auf Speisekarten kleben. Ein kurzer Scan – und statt der Essensauswahl öffnet sich eine betrügerische Seite. "Man findet sie in Restaurants, an Parkuhren , auf dem Lieferpaket , auf das man wartet, oder sogar auf einem Strafzettel am Auto “, erklärt die Nationalpolizei laut dem spanischen Newsportal 20minutos.es.

Auch Parkautomaten und Parkuhren sind im Fokus der Täter:innen. Aus mehreren spanischen Städten werden Fälle gemeldet, in denen gefälschte QR-Codes zu angeblichen Zahlungsseiten führten. Wer dort seine Kartendaten eingibt, bezahlt nicht den Parkschein, sondern direkt an die Kriminellen. Ebenso kursieren täuschend echte Strafzettel mit QR-Code sowie E-Mails oder SMS, in denen Nutzer:innen zum Scannen aufgefordert werden.

So kann man sich vor "QRishing" schützen

Die massive Nutzung von QR-Codes seit der Corona-Pandemie hat den Weg für diese Masche geebnet. Speisekarten, Tickets oder Info-Broschüren wurden durch digitale Codes ersetzt. Das schnelle Scannen wurde zur Gewohnheit – oft ohne den Link zu kontrollieren. Im Unterschied zu klassischen Phishing-Mails braucht "QRishing" eine aktive Handlung des Opfers: Der Scan erfolgt freiwillig, und gerade das nutzen die Täter:innen aus.

Um sich zu schützen, raten Expert:innen vor allem zu mehr Aufmerksamkeit. Ein wichtiger Hinweis ist der Zustand des QR-Codes: Wirkt der Aufkleber schief, überklebt oder unprofessionell, sollte man misstrauisch sein.  Außerdem sollte immer auf die exakte Internetadresse geachtet werden, bevor Daten eingegeben werden. Viele Smartphones zeigen die vollständige URL an, bevor die Seite geöffnet wird. Weichen Domain oder Schreibweise vom bekannten Anbieter ab, sollte der Vorgang unverzüglich abgebrochen werden.

Grundsätzlich gilt:

• Scanne keine QR-Codes, deren Herkunft du nicht eindeutig kennst.

• Sei besonders vorsichtig bei E-Mails oder SMS mit Scan-Aufforderung.

• Gib niemals Bank- oder Kreditkartendaten ein, nachdem du einen unbekannten Code gescannt hast.

• Halte dein Smartphone, Betriebssystem und Sicherheitssoftware aktuell.

• Aktiviere, wenn möglich, Zwei-Faktor-Authentifizierung für wichtige Konten.

In die "QRishing"-Falle getappt? Dann ganz schnell handeln

Wenn man vermutet, auf "QRishing" hereingefallen zu sein, ist schnelles Handeln entscheidend. Fachleute empfehlen, alle Vorgänge sofort abzubrechen und umgehend die eigene Bank zu kontaktieren, um mögliche Abbuchungen zu stoppen. Danach sollten wichtige Passwörter geändert werden – vor allem für E-Mail-Konten und Online-Banking.