Egidio
Dossier · 2026

Falsche QR-Codes & Quishing

Ein QR-Code hat keine sichtbare Adresse — genau das macht ihn zu einem praktischen Betrugswerkzeug. Hier ist, was FBI und FTC über diesen wachsenden Vektor dokumentieren.

Eine offizielle Warnung, kein Gerücht

FBI — Internet Crime Complaint Center (IC3), Warnung PSA250731

Veröffentlicht am 31. Juli 2025, beschreibt diese Warnung ein präzises Muster: unangeforderte Pakete, die an Privatpersonen geliefert werden, mit einer Notiz und einem QR-Code, der zum Scannen „für weitere Informationen" auffordert — ein Weg, um Betrugsmaschen über einen unerwarteten physischen Vermittler zu starten.

FTC (Federal Trade Commission) — Verbraucherwarnungen

Die FTC hat zwei separate Warnungen zu diesem Thema veröffentlicht: im Dezember 2023 zu Betrügern, die schädliche Links in QR-Codes verstecken; im Januar 2025 eine spezifische Warnung zu QR-Codes, die mit unerwarteten Paketen ankommen und auf Phishing-Seiten umleiten, die darauf ausgelegt sind, Zugangsdaten oder Kartennummern zu stehlen.

82,6 %
Der analysierten Phishing-E-Mails nutzten generative KI — ein Anstieg von 53,5 % im Jahresvergleich, der breitere Kontext, in dem der Anstieg des Quishing steht.
KnowBe4, 2025 Phishing Threat Trends Report. Abgerufen am 14.07.2026.

Warum dieser Vektor funktioniert

Ein klassischer Link in einer E-Mail lässt sich mit dem Mauszeiger prüfen, bevor man klickt. Ein QR-Code nicht: Man muss ihn scannen, um zu erfahren, wohin er führt, und die Kamera des Telefons überspringt genau den Prüfschritt, den viele Menschen für Textlinks gelernt haben. Genau deshalb zielen FTC und FBI in ihren jüngsten Warnungen speziell auf diesen Vektor — Paket, Parkautomat, Plakat im öffentlichen Raum: Der physische Träger verleiht eine Legitimität, die der Link allein nicht hätte.

🔒 Ein hinter einem QR-Code versteckter Link leitet fast immer zu einer Bestätigungs-SMS oder einem „Verifizierungs"-Anruf weiter — genau hier setzt Egidio an, indem es verknüpft, was nach dem Scan passiert, mit den anderen Kanälen. Siehe den weltweiten Betrugsreport.

Häufige Fragen

Was ist Quishing?

Eine Wortkombination aus „QR-Code" und „Phishing": ein Betrug, bei dem ein falscher QR-Code, oft auf einem echten Träger angebracht (Paket, Parkautomat, Plakat), das Opfer statt auf die echte Website auf eine betrügerische Seite leitet.

Hat das FBI wirklich vor diesem Thema gewarnt?

Ja. Das Beschwerdezentrum des FBI (IC3) veröffentlichte am 31. Juli 2025 eine spezifische Warnung zu unangeforderten Paketen mit QR-Codes, die genutzt werden, um Betrugsmaschen zu starten.

Wie erkennt man einen falschen QR-Code?

Grundsätzliche Vorsicht bei einem QR-Code, der per Post ankommt, auf einen bestehenden Träger geklebt ist oder von einer Nachricht begleitet wird, die Dringlichkeit erzeugt. Der sicherste Schritt: niemals einen unerwarteten QR-Code scannen, und bei einem Scan die angezeigte Adresse prüfen, bevor man fortfährt.

Mehr entdecken