What is a QR code scam (quishing)?

A QR code scam is any attack that uses a QR code as the delivery vehicle. The QR can be on a sticker, a flyer, an email, a hijacked dynamic QR, a screen at a kiosk, or printed on physical merchandise. The attacker's goal is usually one of three things: take you to a phishing site, join your phone to a malicious network, or get you to approve a transaction (crypto, payment, credential release) that benefits them. The term 'quishing' (QR phishing) is industry shorthand; the FBI and FTC have issued public advisories about it since 2024.

Are QR codes themselves dangerous?

No. A QR code is just an encoding of text, like a really compact way to type a URL. The danger is in what the text instructs your phone to do: open a URL, join a network, approve a transaction. The same scams are possible with a typed URL or a tap-to-pay terminal; QR just makes the attack faster because you scan without reading. The defense is the same defense as for any URL or terminal: read what's there before you act.

How do I check a QR before scanning?

Use a scanner that decodes the QR and shows you the destination BEFORE opening it. That's what our scanner at check.qr.abundera.ai does, drop the QR (image, paste, or camera), and it shows you the decoded payload, the redirect chain, who controls the destination, and reputation flags. Then you decide whether to open the URL or take the action. Most built-in phone scanners just open the URL; you want one that pauses first.

Which QR scams should I worry about most in 2026?

The biggest-volume scam is still sticker-swap on parking meters, restaurant menus, and EV chargers, physical sticker over the legitimate QR, link to a fake payment page. After that: evil-twin Wi-Fi at airports and conference centres; passkey-QR phishing where an attacker tricks you into pairing a passkey to their device; authenticator-export theft (someone borrowing your phone for 'a quick photo' to export your Google Authenticator codes); and crypto drainer QRs at NFT events. Boarding-pass photo posting on social media is also surprisingly common, IATA's barcode encodes the booking reference that lets attackers cancel or modify the trip.

Feldleitfaden

QR-Code-Betrug, auf den Sie 2026 achten sollten

Ein QR-Code ist nur eine kodierte Zeichenkette. Die Gefahr liegt nicht im Format, sondern darin, was die Zeichenkette Ihrem Telefon zu tun auffordert, und dass Sie meist scannen, ohne zu lesen. Hier sind die zehn Angriffe, die gerade passieren, wie sie in der Praxis aussehen und wie Sie sie erkennen, bevor Sie tippen.

Jetzt einen QR prüfen → QR-Standards, die wir dekodieren →

1. Aufkleber-Tausch an Parkautomaten, Speisekarten und EV-Ladern

So sieht es aus: Ein kleiner Aufkleber wird ordentlich über den legitimen QR auf einem Parkautomaten, einer Restaurantspeisekarte, einer EV-Ladestation oder einem Selbstbedienungs-Terminal geklebt. Der Aufkleber-QR sieht identisch mit dem echten aus. Scannen Sie ihn und landen Sie auf einer Zahlungsseite, die wie die der Stadt oder des Restaurants aussieht. Zahlen Sie, und das Geld geht an den Angreifer. Mehrere große US-Städte waren 2023–2024 davon betroffen (San Antonio, Austin, Houston); Aufkleber an EV-Ladern explodierten 2024–2025.

So erkennen Sie es: Schauen Sie sich den QR an. Ist er direkt auf die Oberfläche aufgedruckt (eingraviert, gemalt, unter Laminat eingebettet)? Oder ist er ein Aufkleber? Fahren Sie mit dem Fingernagel über eine Kante. Wenn er sich hebt, ist es ein Aufkleber. Echte Parkautomaten- und EV-Lader-QRs sind fast immer dauerhaft. Bei Speisekarten fragen Sie den Kellner, welche Zahlungsseite echt ist; legitime Betreiber bestätigen das gerne. Und scannen Sie den QR in unseren Scanner, bevor Sie bezahlen – das dekodierte Ziel ist der entscheidende Hinweis.

Mehr erfahren: EMVCo-Händler-Zahlungs-QRs →

2. Evil-Twin-WLAN an Flughäfen, Hotels und Konferenzzentren

So sieht es aus: Eine gedruckte Karte oder ein Aufkleber wirbt für kostenloses Wi-Fi: „Airport_Free_WiFi”, „Starbucks_Guest_2”, „ConferenceGuest”. Scannen Sie den QR, Ihr Telefon verbindet sich mit dem Netzwerk, Sie haben Internet. Aber das Netzwerk ist ein Handy-Hotspot des Angreifers im selben Raum. Er leitet Ihren Datenverkehr zum echten Internet weiter, damit nichts unterbrochen wirkt, sieht aber DNS-Anfragen, SNI-Hostnamen, jeden HTTP-Fallback-Datenverkehr und kann gefälschte Captive Portals anzeigen, die nach Zugangsdaten fragen.

So erkennen Sie es: Prüfen Sie, ob die SSID mit dem übereinstimmt, was der Veranstaltungsort offiziell angibt. Flughäfen listen ihren Gast-WLAN-Namen auf der offiziellen Website auf; Hotels am Empfang. Ähnlich aussehende Namen (extra Zeichen, vertauschte Buchstaben, „Free” angehängt) sind das Angriffsmuster. Unser Scanner prüft ähnlich aussehende SSIDs gegen eine Liste häufig imitierter Markennamen. Im Zweifel einfach mobile Daten nutzen.

Mehr erfahren: Wi-Fi-Anmeldedaten-QRs →

3. Passkey-QR-Phishing

So sieht es aus: Sie melden sich auf einem Desktop an einer Website an. Die Seite zeigt einen QR, um den Passkey Ihres Telefons zu koppeln. Ein Angreifer, der Sie auf die falsche Website gelockt hat, zeigt Ihnen seinen QR und koppelt Ihren Passkey mit SEINEM aktiven Login auf der echten Website. Er ist nun in Ihrem Konto eingeloggt. Der CTAP 2.2 Hybrid-Transport (der Standard hinter Passkey-QRs) ist kryptografisch solide; der Angriff liegt vollständig auf der menschlichen Seite – Sie dazu zu bringen, einen QR von einem Bildschirm zu scannen, der nicht wirklich die Website ist, für die Sie ihn halten.

So erkennen Sie es: Bevor Sie einen Passkey-QR scannen, prüfen Sie die URL der Seite in der Adressleiste Ihres Browsers. Phishing-Seiten nutzen oft Tippfehler-Domains (extra Bindestrich, vertauschte Buchstaben, .co statt .com). Der Passkey-QR selbst ist in Ordnung; die Frage ist, ob die Seite, die ihn anzeigt, echt ist. Außerdem: Passkey-QRs sind kurzlebig (typischerweise unter einer Minute). Ein QR, der stundenlang auf einer statischen Hilfsseite sitzt, ist verdächtig.

Mehr erfahren: FIDO2-Passkey-QRs →

4. Diebstahl durch Authenticator-Export

So sieht es aus: Jemand leiht sich Ihr entsperrtes Telefon für „ein schnelles Foto”. Er öffnet Google Authenticator, tippt auf Konten übertragen → Exportieren, generiert einen QR und fotografiert ihn mit seinem Telefon. Dann gibt er Ihres zurück. Dieser QR enthält alle Authenticator-Seeds (Google, AWS, GitHub, Ihre Bank, Ihre Krypto-Börse), base64-kodiert in einem Protobuf. Sie können nun für immer Ihre 6-stelligen Codes für jedes Konto generieren, bis Sie jeden einzelnen zurücksetzen.

So erkennen Sie es: Die Abwehr liegt nicht darin, den QR zu entdecken, sondern darin, dass er nie generiert wird. Geben Sie kein entsperrtes Telefon weiter. Wenn Sie etwas teilen müssen, tun Sie es selbst. Außerdem: Die meisten Authenticator-Apps verlangen inzwischen eine biometrische Entsperrung beim Export-Vorgang, aber Googles tat dies bis Ende 2023 nicht, und alte Telefone überspringen es möglicherweise noch. Wenn Sie vermuten, dass dies passiert ist, behandeln Sie es als vollständigen Einbruch und setzen Sie 2FA bei jedem Konto zurück, das Sie im Authenticator haben.

Mehr erfahren: otpauth-migration-QRs →

5. Veröffentlichen von Boardingkarten-Fotos

So sieht es aus: Ein Reisender postet ein Foto seiner Boardingkarte auf Instagram oder LinkedIn: „Ab nach Tokio!” Der PDF417-Barcode (oder QR) auf der Karte kodiert die Buchungsreferenz der Airline (PNR) und die Ticketnummer im Klartext. Ein Angreifer, der das Foto screenshottet, dekodiert den Barcode, sucht die Buchung auf der Website der Airline (PNR + Nachname reicht meist) und kann die Reise stornieren, den Sitz ändern, das vollständige Reiseprogramm einsehen oder Rückerstattungsvorgänge auslösen.

So erkennen Sie es: Posten Sie keine Fotos von Boardingkarten. Falls nötig, verdecken oder beschneiden Sie den Barcode UND die Buchungsreferenz (meist irgendwo als 6-stelliger alphanumerischer Code gedruckt). Der QR/Barcode ist ein ideales Angriffsziel, da er von jedem Telefon-Screenshot maschinenlesbar ist.

Mehr erfahren: IATA-BCBP-Boardingkarten-QRs →

6. Ernte von Führerschein-Barcode-Daten

So sieht es aus: Eine Bar, ein Club, ein Vape-Shop, ein Dispensary oder ein altersbeschränkter Einzelhändler scannt den PDF417-Barcode auf der Rückseite Ihres Führerscheins zur „Altersprüfung”. Dieser Barcode kodiert ALLE Attribute des Führerscheins im Klartext: Name, Adresse, Geburtsdatum, Führerscheinnummer, Körpergröße, Gewicht, Augenfarbe. Manche Betreiber speichern diese Daten, verkaufen sie an Marketing-Aggregatoren oder verlieren sie bei Datenlecks. Ein echter Türsteher muss eine Sache wissen: Sind Sie volljährig? Er braucht nicht Ihre Adresse.

So erkennen Sie es: Fragen Sie, was gescannt wird und warum. Manche Veranstaltungsorte müssen nur das Alter bestätigen; andere (große Clubs in bestimmten Bundesstaaten) sind gesetzlich verpflichtet, Daten zu speichern. Widersprechen Sie, wenn der Veranstaltungsort klein und informell ist. Wenn Sie einen mobilen Führerschein haben, nutzen Sie ihn; mDLs unterstützen selektive Offenlegung (die Bar kann einfach „über 21? Ja/Nein” fragen, ohne Ihr Geburtsdatum zu sehen).

Mehr erfahren: AAMVA-Führerschein-PDF417 →

7. Crypto-Drainer-QRs bei NFT-Events und physischer Kunst

So sieht es aus: Ein QR bei einem NFT-Treffen, einer Galerie-Eröffnung, einem Konferenzstand oder in physischer Kunst gibt vor, Ihnen ein kostenloses NFT zu minten oder einen Airdrop einzulösen. Scannen Sie ihn, der QR öffnet eine WalletConnect-Sitzung oder einen Deep-Link zu Ihrer Wallet-App, und Sie werden aufgefordert, eine Transaktion zu unterzeichnen. Die Transaktion genehmigt einen bösartigen Vertrag, jedes Token in Ihrer Wallet abzuziehen. Drainer-Kits sind handelsübliche Software; der QR ist nur das Übermittlungsmedium.

So erkennen Sie es: Lesen Sie die Transaktionsaufforderung in Ihrer Wallet, bevor Sie unterzeichnen. Wenn nach Token-Genehmigungen gefragt wird (insbesondere setApprovalForAll oder unbegrenzte approve-Ausgaben) für einen Vertrag, den Sie nicht kennen, ablehnen. Kostenlosen-NFT-Claim-QRs an zufälligen Ständen sind das Risiko nicht wert. Nutzen Sie eine separate „heiße” Wallet mit minimalem Guthaben für jede persönliche Interaktion; bewahren Sie Ihre echten Assets in einer Wallet auf, die Sie nie mit QR-Sitzungen verbinden.

8. Aufkleber über einem Wohltätigkeits-/Spendensammel-QR

So sieht es aus: Ein Flyer für eine echte Wohltätigkeitsorganisation hängt an einem öffentlichen Ort. Ein Angreifer klebt den Spendensammel-QR mit einem eigenen Aufkleber ab, der auf eine von ihm kontrollierte Wallet oder eine gefälschte Spendensammler-Seite zeigt. Spenden gehen an den Angreifer. Dies ist am häufigsten rund um Naturkatastrophen und große Nachrichtenereignisse – die legitime Organisation wirbt intensiv, der Angreifer profitiert davon.

So erkennen Sie es: Wie bei #1: Ist der QR ein Aufkleber über der gedruckten Version oder Teil des Originaldrucks? Spenden Sie auch, indem Sie die URL der Organisation selbst in Ihren Browser eingeben oder die offizielle App der Organisation nutzen. QR-Codes sind praktisch, aber sie bilden keine Vertrauenskette.

9. Gefälschter Produktpass-QR

So sieht es aus: Ein QR auf einem Textil, einer Batterie, einem elektronischen Gerät oder einem Möbelstück gibt vor, der EU Digital Product Passport des Produkts zu sein (ESPR-Anforderung, schrittweise Einführung 2027–2030). Scannen Sie ihn und eine ansprechende Webseite zeigt Ihnen Herkunft, Recyclinganteil und Nachhaltigkeitsangaben des Produkts. Nichts davon ist real – der Hersteller des Fälschungsprodukts hat einfach für eine generische DPP-ähnliche Landing-Page bezahlt. Mit dem Ausrollen von DPP ist damit zu rechnen, dass dies zunimmt: Regulierungsbehörden bauen noch das EU-Register auf, das Echtheit verankert.

So erkennen Sie es: Prüfen Sie, ob das Ausstellerfeld im DPP auf einen registrierten EU-Wirtschaftsakteur verweist. Das EU-Kommissions-Konsolidierungsregister ist Stand Mitte 2026 noch nicht veröffentlicht; bis dahin sollten DPP-Angaben als beratend und nicht als verifiziert behandelt werden. Unser Scanner extrahiert das Ausstellerfeld und die DPP-Server-URL, damit Sie diese Suche selbst durchführen können.

Mehr erfahren: EU Digital Product Passport →

10. Feindlicher mDL-Verifier, der zu viel verlangt

So sieht es aus: Sie zeigen Ihren mobilen Führerschein (mDL) in einer Bar oder an einem Kassentresen vor. Die Verifier-App fragt nach vollständigem Namen, vollständigem Geburtsdatum, Führerscheinnummer, Adresse UND Foto, obwohl der Vorgang nur eine Altersverifikation erfordert. Sie stimmen aus Gewohnheit zu. Jetzt hat ein Kleinbetrieb Ihre vollständige Identität, die möglicherweise gespeichert, an Marketing-Aggregatoren verkauft oder bei einem Datenleck gestohlen wird. Der Standard verlangt, dass die Wallet Ihnen die Anforderungsliste anzeigt, hindert Sie aber nicht daran, pauschalen Offenlegungen zuzustimmen.

So erkennen Sie es: Lesen Sie die Anforderungsaufforderung. Wenn der Verifier mehr verlangt, als der Vorgang erfordert (eine Bar fragt nach Ihrer Adresse, ein Kassierer fragt nach Ihrer Führerscheinnummer), lehnen Sie ab und verlangen Sie die minimale Version (nur age_over_21). Wenn die Bar das ablehnt, liegt bei Ihnen die Entscheidung: mehr als nötig preisgeben oder gehen. Der Standard ist auf Ihrer Seite; das Verifier-Ökosystem ist noch nicht reguliert.

Mehr erfahren: Mobile Führerschein (ISO 18013-5) →

Was zu tun ist, wenn Sie bereits etwas Gefährliches gescannt haben

Zahlungsseite: Wenn Sie Kartendaten eingegeben haben, kontaktieren Sie sofort Ihre Bank, um die Transaktion zu kennzeichnen und die Karte neu auszustellen. Warten Sie nicht, bis die Abbuchung erscheint.
Wi-Fi: Vergessen Sie das Netzwerk auf Ihrem Telefon. Prüfen Sie kurz, ob zuletzt verwendete Apps nach Zugangsdaten gefragt haben. Ändern Sie Passwörter für alles, das Sie während der Verbindung genutzt haben, besonders alles, das auf HTTP zurückgefallen ist.
Passkey: Melden Sie sich beim betroffenen Konto an, gehen Sie zu den Sicherheitseinstellungen, listen Sie aktive Passkeys auf und entfernen Sie alles, was Sie nicht kennen. Setzen Sie auch Ihr Passwort zurück, wenn die Website das anbietet.
Authenticator-Export: Behandeln Sie dies als vollständigen Einbruch. Setzen Sie 2FA bei jedem Konto zurück, das im Authenticator war. Beginnen Sie mit hochwertigsten (Bank, E-Mail, Krypto-Börse, GitHub, AWS).
Boardingkarte veröffentlicht: Wenden Sie sich an die Airline, ändern Sie die Buchungsreferenz wenn möglich und richten Sie einen Flugstatus-Alert ein, damit Sie Änderungen an der Buchung bemerken.
Crypto-Drainer signiert: Verschieben Sie verbleibende Assets sofort in eine neue Wallet. Widerrufen Sie Vertragsgenehmigungen auf jeder genutzten Chain (revoke.cash und ähnliche Tools decken die meisten Chains ab). Die abgezogenen Token sind in der Regel nicht wiederherstellbar.

Vor dem Scannen prüfen

Legen Sie einen beliebigen QR (Bild, Einfügen oder Kamera) in unseren Scanner. Sie sehen den dekodierten Payload, die Weiterleitungskette falls es eine URL ist, wer das Ziel künftig ändern kann und Reputationshinweise. Die Entscheidung liegt bei Ihnen; die Informationen stehen auf dem Bildschirm, bevor Sie handeln.

Scanner öffnen →